Por que a exposição é perigosa?

Quando uma chave de API é exposta no código-fonte do seu site (o código que roda no navegador do usuário), ela se torna pública. Qualquer pessoa pode encontrá-la, copiá-la e usá-la. Isso pode levar a consequências graves:

• Custos Inesperados: Atacantes podem usar sua chave para fazer milhões de requisições ao serviço, gerando uma conta altíssima para você.
• Abuso de Serviço: Sua chave pode ser usada para fins maliciosos, como enviar spam ou realizar ataques, associando essa atividade à sua conta.
• Acesso a Dados: Dependendo das permissões da chave, um atacante pode conseguir ler, modificar ou até excluir seus dados.

Como o Oraculum funciona?

O Oraculum age como um detetive digital. Ele analisa todo o conteúdo da sua página e de todos os arquivos JavaScript associados, procurando por padrões que se assemelham a chaves de API conhecidas (como o formato `AIza...` do Firebase/Google).

Para chaves do Firebase, é importante entender que, embora elas precisem estar no frontend, a segurança não deve depender do sigilo da chave, mas sim de outras camadas de proteção:

• Restrições de Chave: No Google Cloud Console, você DEVE restringir sua chave de API para que ela só possa ser usada a partir dos domínios do seu site.
• Firebase App Check: Esta ferramenta garante que as requisições aos seus serviços Firebase (Firestore, Functions, etc.) venham apenas dos seus aplicativos autorizados.
• Regras de Segurança: Suas regras do Firestore e Storage são a linha de defesa final, controlando exatamente quem pode acessar o quê.

Ao encontrar uma chave, o Oraculum não a classifica apenas como um problema, mas como um lembrete crítico para que você verifique se todas essas outras camadas de segurança estão devidamente configuradas.