數位果子 BLOG
本站是數位果子的部落格網站。

Google API Key 被盜用後,究竟會產生多少費用?
答案可能從 零元、數千元,到數十萬元甚至更高,沒有固定金額。真正的費用取決於被盜用的 API 類型、請求次數、攻擊持續時間、免費用量、配額設定,以及 Google Cloud 專案是否已連結有效的付款帳戶。
以 Google Maps Platform 為例,目前採取按使用量計費模式,各項服務依 SKU 計算,每月提供不同數量的免費計費事件,超過免費額度後,再依每1,000次計費事件收費。使用量越大,部分服務會自動套用級距折扣。
因此,API Key 被盜用後,不能只問「被呼叫了幾次」,還必須先確認:



讓更多人搜尋到你的產品?現在有機會免費行銷 20 天!
現在越來越多品牌開始透過 內容行銷,讓產品被 Google 搜尋到。
我們現在開放 20 天免費內容行銷體驗,透過搜尋曝光與內容推廣,幫助你的產品被更多人看見。
以下以 Google Maps Platform 全球價格中的部分常見服務舉例,實際價格仍應以事件發生當下的 Google 官方帳單及價格表為準。
API 使用情況 | 官方免費用量範例 | 首段單價範例 | 盜用10萬次的概略費用 |
|---|---|---|---|
Dynamic Maps | 每月10,000次 | 每1,000次 US$7 | 約US$630 |
Static Maps | 每月10,000次 | 每1,000次 US$2 | 約US$180 |
Static Street View | 每月10,000次 | 每1,000次 US$7 | 約US$630 |
Compute Routes Essentials | 每月10,000次 | 每1,000次 US$5 | 約US$450 |
Roads-Nearest Road | 每月5,000次 | 每1,000次 US$10 | 約US$950 |
Roads-Speed Limits | 每月5,000次 | 每1,000次 US$20 | 約US$1,900 |
Aerial View | 每月5,000次 | 每1,000次 US$16 | 約US$1,520 |
Google 官方價格表目前列出:Dynamic Maps免費用量為每月10,000次,第一級距每1,000次US$7;Static Maps為每1,000次US$2;Compute Routes Essentials為每1,000次US$5;部分Pro等級服務則可能達到每1,000次US$10至US$20。
以上試算尚未包含:
有可能。
如果異常使用量仍在該項API每月免費額度內,當月可能不會產生額外費用。
例如Dynamic Maps每月有10,000次免費計費事件。假設公司原本完全沒有使用,而外部人士只盜刷5,000次,這些請求可能仍在免費用量內,因此額外帳單可能是零元。Google Maps Platform的免費用量按各個SKU分別計算,並在每月重新計算。
但即使暫時沒有產生費用,也不代表可以不處理,因為:
只要確定金鑰曾經公開或被未授權使用,就應進行輪替,而不是等到產生帳單才處理。
以下試算使用Google官方全球價格表中的首段單價,並假設當月原本沒有其他用量。
為方便台灣讀者理解,文中的新台幣僅以 US$1約新台幣32.5元進行示意換算,不代表實際信用卡結算匯率。
Dynamic Maps目前每月前10,000次屬於免費用量,首段費用為每1,000次US$7。
計算方式:
總請求次數:100,000次
扣除免費用量:10,000次
計費次數:90,000次
90,000 ÷ 1,000 × US$7
=US$630
換算約為:
US$630 × 32.5
=約新台幣20,475元
也就是說,如果網站地圖金鑰被其他網站大量使用,僅10萬次Dynamic Maps載入,就可能產生約新台幣2萬元的費用。
假設當月總計發生100萬次Dynamic Maps計費事件:
總請求次數:1,000,000次
扣除免費用量:10,000次
計費次數:990,000次
990,000 ÷ 1,000 × US$7
=US$6,930
示意換算約為:
US$6,930 × 32.5
=約新台幣225,225元
也就是說,在沒有有效配額、網域限制或及時停用的情況下,短時間內被呼叫100萬次,帳單可能突破新台幣20萬元。
實際帳單會依Google的分段價格、當月帳戶總使用量與其他折扣重新計算,因此帳單不一定與上述數字完全相同。Google Maps Platform會依每個SKU及使用量級距計費,並將同一付款帳戶下相關專案的用量納入當月計算。
Static Maps第一級距目前為每1,000次US$2,每月免費用量10,000次。
100,000-10,000
=90,000次計費
90,000 ÷ 1,000 × US$2
=US$180
示意換算約為:
US$180 × 32.5
=約新台幣5,850元
Static Maps單次成本看起來較低,但如果攻擊者每天呼叫100萬次,費用仍會迅速增加。
Compute Routes Essentials目前每月有10,000次免費用量,第一級距為每1,000次US$5。
100,000-10,000
=90,000次計費
90,000 ÷ 1,000 × US$5
=US$450
示意換算約為:
US$450 × 32.5
=約新台幣14,625元
如果被盜用的是路線矩陣、進階導航或其他較高單價功能,費用可能更高。
以Roads-Speed Limits為例,Google官方全球價格表目前列出的免費用量為5,000次,第一級距每1,000次US$20。
100,000-5,000
=95,000次計費
95,000 ÷ 1,000 × US$20
=US$1,900
示意換算約為:
US$1,900 × 32.5
=約新台幣61,750元
同樣是10萬次請求,低單價服務可能只有數千元,但高單價服務可能超過新台幣6萬元。
因此,看到「API被呼叫10萬次」仍無法直接判斷帳單,必須進一步查看SKU名稱。
費用取決於攻擊速度。
以Dynamic Maps首段每1,000次US$7估算:
每日異常請求量 | 扣除免費用量前的概略費用 | 新台幣示意 |
|---|---|---|
10,000次 | 約US$70 | 約NT$2,275 |
50,000次 | 約US$350 | 約NT$11,375 |
100,000次 | 約US$700 | 約NT$22,750 |
500,000次 | 約US$3,500 | 約NT$113,750 |
1,000,000次 | 約US$7,000 | 約NT$227,500 |
此表是便於理解的粗略估算,沒有扣除每月免費用量,也未套用大量級距折扣。
如果攻擊程式每秒發送10次請求:
10次 × 60秒 × 60分鐘 × 24小時
=每天864,000次
如果每秒100次:
100次 × 60秒 × 60分鐘 × 24小時
=每天8,640,000次
因此,沒有設定配額的API Key,在自動化程式攻擊下,可能在數小時內就累積大量費用。
不一定。
Google Cloud的預算功能主要用來追蹤費用並發送警示。管理者可以設定預算金額與通知門檻,例如50%、80%、100%與120%,但預算警示本身不是硬性消費上限。Google官方文件說明,預算用於追蹤實際支出與設定的預算差距,並透過門檻規則觸發通知。
例如設定每月預算新台幣1,000元,通常代表:
但如果攻擊流量持續,API不一定會在1,000元時自動停止。
此外,帳單資料與警示通知可能不是即時更新。等管理者收到郵件、看到通知並登入處理時,費用可能已經繼續增加。
降低風險不能只靠預算警示,還要搭配以下措施。
可以為特定API設定:
Google官方說明,當請求量到達設定的配額上限後,服務會停止回應後續請求;但配額設定太低,也可能導致正常網站或App中斷。
例如網站平常每天只使用2,000次,可以先根據尖峰流量設定每日5,000次或10,000次,而不是保留極高或無限制的配額。
依API的實際使用方式設定:
網站金鑰即使能在瀏覽器原始碼中看到,只要正確限制允許的網域,其他網站便較難直接使用。
每把金鑰只允許存取真正需要的API。
例如:
避免一把金鑰可以呼叫專案內所有已啟用服務。
建議建立不同金鑰:
這樣其中一把遭到濫用時,不必一次更換所有系統。
進入Google Cloud Console:
依序查看:
帳單
→ 報表
→ 依專案分組
→ 依服務分組
→ 依SKU分組
先找出:
進入:
檢查:
如果已經確認存在異常流量,可以依風險程度處理:
Google官方對遭入侵API Key的建議,是建立新金鑰、套用必要限制、部署新金鑰後,再刪除舊金鑰。
可以先:
此時應以阻止費用繼續增加為優先,即使網站可能短暫停止部分功能。
不能自行認定不需要付款。
Google Cloud帳單通常會先依專案的實際使用量產生。若認為費用來自憑證外洩或未授權使用,應立即:
是否能夠減免、調整或退款,需由Google依個案審核,不能保證申請後一定會退費。
建議保留以下證據:
刪除金鑰後,使用該金鑰的新請求通常會無法繼續通過驗證。
但帳單頁面可能不會立即反映最新狀態,因此仍可能看到:
刪除金鑰後,仍應持續觀察至少:
常見原因包括:
部分使用量不是即時寫入帳單報表,因此看到的增加可能是先前已產生的費用。
公司可能有多個名稱相似的Google Cloud專案。
專案中可能不只一把金鑰。
費用可能來自:
如果外洩的是服務帳戶JSON金鑰、OAuth憑證或Google Cloud帳號權限,攻擊者可能建立其他資源。這類事件的風險通常高於單純API Key外洩。
Google官方表示,只要懷疑任何Google Cloud憑證遭到入侵,就應立即採取行動限制影響範圍。
沒有統一的最高金額。
上限取決於:
沒有設定合理配額時,理論上可能持續產生大量請求與費用。
不一定。
信用卡額度不是Google Cloud的API用量上限。即使扣款失敗,雲端帳戶仍可能已經累積應付費用,後續也可能再次嘗試扣款或限制服務。
只能協助提早發現,不能單獨防止。
真正的防護應包含:
若專案沒有啟用有效帳單,許多需要計費的Google Cloud服務可能無法正常啟用或在免費用量後停止。
但仍應確認:
只要確認是未授權使用,就建議更換。
請求量少可能只是攻擊者正在測試金鑰是否有效。若繼續保留,之後可能轉為大量呼叫。
Google可能偵測到公開或疑似遭入侵的憑證並發出通知,但管理者不能完全依賴自動偵測。Google官方仍要求使用者檢查API與帳單活動,並處理可能外洩的金鑰。
以下連結請在WordPress使用一般文字超連結或按鈕,不要使用「嵌入內容」區塊。
Google Cloud Console
https://console.cloud.google.com/
API與服務資訊主頁
https://console.cloud.google.com/apis/dashboard
API憑證管理
https://console.cloud.google.com/apis/credentials
Google Cloud帳單
https://console.cloud.google.com/billing
預算與警示
https://console.cloud.google.com/billing/budgets
Google Maps Platform配額管理
https://console.cloud.google.com/google/maps-apis/quotas
Google Maps Platform全球價格表
https://developers.google.com/maps/billing-and-pricing/pricing
Google Maps Platform計價總覽
https://developers.google.com/maps/billing-and-pricing/overview
Google Maps Platform成本管理
https://developers.google.com/maps/billing-and-pricing/manage-costs
Google Cloud預算與警示
https://cloud.google.com/billing/docs/how-to/budgets
處理遭入侵的Google Cloud憑證
https://cloud.google.com/docs/security/compromised-credentials
Google Cloud帳單支援
https://cloud.google.com/support/docs/get-billing-support
Google API Key被盜用後,費用沒有固定答案。
相同的10萬次請求:
如果攻擊量增加到100萬次,費用便可能達到數千美元;若異常持續數天,帳單也可能迅速累積到數十萬元。
發現異常時,不要只等待Google回覆,也不要只設定預算警示。應先完成:
網站使用Google Maps、Google API、GA4或Google Ads時,除了確認功能能否正常運作,也應建立清楚的流量、配額與轉換追蹤機制,避免無法分辨正常使用、程式錯誤及異常流量。
數位果子科技有限公司 提供:
本公司服務重點為網站建置、數位行銷、SEO內容與廣告投放,不代理Google Cloud帳單申訴、退款審核或Google官方客服。若已產生異常API費用,仍應透過Google Cloud Billing官方支援管道提出。
數位果子科技有限公司
合作專線:0970-357-535
LINE:cherng65