De paniek van de ontbrekende API-key in 2018
Weet je het nog? In 2018 schreef ik een veelgelezen artikel over Google Maps-kaarten die massaal op zwart gingen. Vanaf de zomer van dat jaar kregen websitebezoekers opeens een donkere kaart met een ‘for development purposes only’-watermerk te zien als de API-key niet correct was geïmplementeerd. Dit zorgde bij veel retailers voor grote problemen: een haperende store locator leidde direct tot een lagere conversie en minder klantvertrouwen.
Waarom een onbeveiligde API-key je nu goud geld kost
Vandaag de dag is het probleem een stuk geavanceerder en gevaarlijker. Het gaat er niet meer om óf je een werkende API-key hebt, maar hoe goed je deze Google Maps API-key hebt beveiligd. Bij veel bedrijven is de beheeromgeving van hun Google Cloud Console door de jaren heen verslonsd.
Wat is daarvan het risico? Als jouw API-key niet strak is afgeschermd met de juiste restricties (zoals HTTP-referrers), kan een kwaadwillende of een concurrent jouw key zomaar uit de broncode kopiëren. Zij plaatsen deze op een compleet ander domein en genereren daar verkeer. Het resultaat? Elke keer dat hún kaart wordt geladen, betaal jíj de rekening voor het API-gebruik.
Google compenseert geen API-fouten meer
En dat API-misbruik kan enorm in de papieren lopen. In de praktijk lossen we zo’n vijf keer per jaar dit soort acute crisissituaties op voor grote retailers. Zij worden compleet overvallen door ongekend en onverwacht hoge Google Maps-facturen. Waar Google vroeger nog weleens coulant was met het kwijtschelden van deze kosten, is dat tegenwoordig verleden tijd. Google compenseert geen zelfgemaakte configuratiefouten meer. Is je account gehackt door een openstaande key? Dan is de rekening voor jou.
Hoe veilig is de locatiedata in jouw store locator?
Naast de financiële risico’s van een gekaapte key, is er nog een ander groot gevaar: datadiefstal. Het is tegenwoordig schrikbarend eenvoudig om locatiedata massaal te scrapen vanuit onbeveiligde store locators.
Jouw zorgvuldig opgebouwde database van vestigingen, dealers en openingstijden kunnen we in veel gevallen relatief makkelijk uitlezen en opslaan. Jouw waardevolle bedrijfsdata ligt op die manier in feite gewoon op straat voor slimme concurrenten die hier hun eigen voordeel mee doen.
Neem de controle terug: Doe de API- en Datacheck
Laat je niet verrassen door een torenhoge, onomkeerbare factuur van Google Cloud of door concurrenten die er met jouw locatiedata vandoor gaan. Voorkom problemen en controleer vandaag nog je instellingen:
- Hoe controleer je of je key onbeveiligd is? Test simpelweg of je met jouw eigen API-key ook een kaart kunt inladen op een lokaal of ander domein. Lukt dit? Dan staat je key wagenwijd open.
- Hoe veilig is jouw locatiedata? Check of de data in je store locator is afgeschermd tegen ongewenst scrapen.
Lukt de controle niet of twijfel je over de veiligheid van jouw Google Cloud Console en Maps-integratie? Neem contact met ons op, wij helpen je graag om alles weer waterdicht te beveiligen.
