LeakyLooker कमजोरियां

साइबर सुरक्षा शोधकर्ताओं ने Google Looker Studio में नौ क्रॉस-टेनेंट कमजोरियों का खुलासा किया है, जो हमलावरों को पीड़ितों के डेटाबेस के खिलाफ मनमानी SQL क्वेरी निष्पादित करने और Google क्लाउड प्लेटफ़ॉर्म पर चल रहे संगठनात्मक वातावरण से संवेदनशील जानकारी निकालने में सक्षम बना सकती थीं।

इन खामियों के समूह को सामूहिक रूप से लीकीलूकर नाम दिया गया है। शोधकर्ताओं ने जून 2025 में ज़िम्मेदार प्रकटीकरण के माध्यम से इन समस्याओं की जानकारी दी थी, और तब से इन कमियों को दूर कर दिया गया है। फिलहाल, ऐसा कोई सबूत नहीं है जो यह दर्शाता हो कि वास्तविक हमलों में इन कमियों का फायदा उठाया गया था।

सुरक्षा विश्लेषकों ने चेतावनी दी है कि ये खामियां प्लेटफॉर्म में मूलभूत वास्तुशिल्पीय मान्यताओं को कमजोर करती हैं और हमलों के एक ऐसे वर्ग को जन्म देती हैं जिन्हें पहले पहचाना नहीं गया था और जो कई क्लाउड टेनेंट्स में डेटा में हेरफेर करने या उसे निकालने में सक्षम हैं।

लीकीलूकर हमले की सतह के पीछे नौ कमजोरियाँ

इस शोध में प्लेटफ़ॉर्म और उसके डेटा कनेक्टर्स के विभिन्न घटकों को प्रभावित करने वाली नौ अलग-अलग खामियों की पहचान की गई। इन खामियों में शामिल हैं:

• डेटाबेस कनेक्टर्स पर जीरो-क्लिक SQL इंजेक्शन के माध्यम से क्रॉस-टेनेंट अनधिकृत पहुंच
• संग्रहीत क्रेडेंशियल्स का उपयोग करके ज़ीरो-क्लिक SQL इंजेक्शन के माध्यम से क्रॉस-टेनेंट अनधिकृत पहुंच
• नेटिव फ़ंक्शंस के माध्यम से बिगक्वेरी को लक्षित करते हुए क्रॉस-टेनेंट SQL इंजेक्शन
• हाइपरलिंक के माध्यम से विभिन्न किरायेदारों के डेटा स्रोतों का प्रदर्शन
• पीड़ित के डेटा स्रोत पर कस्टम क्वेरी के माध्यम से स्पैनर और बिगक्वेरी को प्रभावित करने वाला क्रॉस-टेनेंट एसक्यूएल इंजेक्शन।
• लुककर लिंकिंग एपीआई के माध्यम से क्रॉस-टेनेंट एसक्यूएल इंजेक्शन, जो बिगक्वेरी और स्पैनर को प्रभावित करता है।
• इमेज रेंडरिंग के माध्यम से क्रॉस-टेनेंट डेटा लीक
• फ्रेम काउंटिंग और टाइमिंग आधारित साइड चैनलों का उपयोग करके किसी भी डेटा स्रोत पर क्रॉस-टेनेंट XS-लीक
• बिगक्वेरी संसाधन खपत के माध्यम से क्रॉस-टेनेंट डिनायल-ऑफ-वॉलेट हमले

कुल मिलाकर, ये समस्याएं विरोधियों को Google क्लाउड वातावरण में संचालित पीड़ित सेवाओं से डेटा प्राप्त करने, डालने या हटाने की अनुमति दे सकती हैं।

डेटा कनेक्टर्स में व्यापक प्रसार

इन खामियों से Looker Studio के विभिन्न डेटा एकीकरणों का उपयोग करने वाले संगठनों को खतरा पैदा हो गया। प्रभावित इकोसिस्टम में कई स्टोरेज प्लेटफॉर्म और डेटाबेस शामिल हैं जो आमतौर पर एंटरप्राइज वातावरण में उपयोग किए जाते हैं, जिनमें Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL और Google Cloud Storage शामिल हैं।

लुककर स्टूडियो डैशबोर्ड में इन कनेक्टर्स पर निर्भर रहने वाले किसी भी संगठन के प्रभावित होने की संभावना थी, क्योंकि इन कमजोरियों ने हमलावरों को किरायेदार की सीमाओं को पार करने और विभिन्न क्लाउड परियोजनाओं से संबंधित संसाधनों तक पहुंचने में सक्षम बनाया।

शोषण के रास्ते: सार्वजनिक रिपोर्टों से लेकर डेटाबेस नियंत्रण तक

शोधकर्ताओं द्वारा बताए गए हमले के परिदृश्य दर्शाते हैं कि हमलावर सार्वजनिक रूप से सुलभ डैशबोर्ड का लाभ कैसे उठा सकते हैं या निजी तौर पर साझा की गई रिपोर्टों तक पहुंच कैसे प्राप्त कर सकते हैं। एक बार पहुंच प्राप्त हो जाने पर, दुर्भावनापूर्ण तत्व कमजोरियों का फायदा उठाकर जुड़े हुए डेटाबेस पर नियंत्रण हासिल कर सकते हैं।

एक परिदृश्य में बिगक्वेरी जैसे डेटा स्रोतों से जुड़े सार्वजनिक रूप से सुलभ लुक स्टूडियो रिपोर्टों की स्कैनिंग शामिल थी। इंजेक्शन खामियों का फायदा उठाकर, हमलावर मालिक के पूरे क्लाउड प्रोजेक्ट में मनमानी SQL क्वेरीज़ चला सकते थे, जिससे बड़े पैमाने पर डेटा निकाला जा सकता था।

एक अन्य हमले का तरीका रिपोर्ट कॉपी करने की प्रक्रिया में मौजूद एक तार्किक खामी का फायदा उठाता था। जब कोई पीड़ित किसी रिपोर्ट को सार्वजनिक रूप से या विशिष्ट उपयोगकर्ताओं के साथ साझा करता था, और रिपोर्ट में PostgreSQL जैसे JDBC-आधारित डेटा स्रोत का उपयोग किया जाता था, तो हमलावर मूल मालिक के संग्रहीत क्रेडेंशियल्स को बरकरार रखते हुए रिपोर्ट की प्रतिलिपि बना सकते थे। इस खामी के कारण अनधिकृत उपयोगकर्ता डेटाबेस टेबल को संशोधित करने या हटाने जैसे कार्य कर सकते थे।

शोधकर्ताओं ने एक क्लिक में डेटा चुराने की एक बेहद कारगर तकनीक का प्रदर्शन भी किया। इस तकनीक में, पीड़ित द्वारा विशेष रूप से तैयार की गई रिपोर्ट खोलने पर दुर्भावनापूर्ण ब्राउज़र गतिविधि शुरू हो जाती है, जो हमलावर द्वारा नियंत्रित प्रोजेक्ट से संपर्क स्थापित करती है। लॉग विश्लेषण और पुनर्निर्माण के माध्यम से, हमलावर प्राप्त डेटा से संपूर्ण डेटाबेस का पुनर्निर्माण कर सकता है।

विश्वास का टूटा मॉडल: दर्शकों की अनुमतियाँ प्लेटफ़ॉर्म के विरुद्ध इस्तेमाल की गईं

इन कमजोरियों ने लुक स्टूडियो के एक मुख्य डिजाइन सिद्धांत को प्रभावी रूप से कमजोर कर दिया: यह धारणा कि व्यूअर-स्तर की पहुंच वाले उपयोगकर्ता अंतर्निहित डेटा को नियंत्रित या प्रभावित नहीं कर सकते हैं।

खोजी गई कमजोरियों का फायदा उठाकर हमलावर इस सुरक्षा सीमा को पार कर सकते थे और सीधे कनेक्टेड सेवाओं के साथ इंटरैक्ट कर सकते थे। इस क्षमता ने अनधिकृत डेटा निष्कर्षण, हेरफेर और क्रॉस-टेनेंट एक्सेस का रास्ता खोल दिया, जिससे बिगक्वेरी और गूगल शीट्स जैसी सेवाएं प्रभावित हुईं।

हालांकि अब इन कमजोरियों को ठीक कर दिया गया है, लेकिन ये निष्कर्ष मल्टी-टेनेंट क्लाउड प्लेटफॉर्म में कठोर सुरक्षा डिजाइन के महत्व को उजागर करते हैं, जहां एक भी तार्किक खामी व्यापक क्रॉस-एनवायरनमेंट एक्सपोजर में बदल सकती है।