LeakyLooker ਕਮਜ਼ੋਰੀਆਂ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਗੂਗਲ ਲੁੱਕਰ ਸਟੂਡੀਓ ਵਿੱਚ ਨੌਂ ਕਰਾਸ-ਟੇਨੈਂਟ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਇੱਕ ਸਮੂਹ ਪ੍ਰਗਟ ਕੀਤਾ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਪੀੜਤਾਂ ਦੇ ਡੇਟਾਬੇਸ ਦੇ ਵਿਰੁੱਧ ਮਨਮਾਨੇ SQL ਪੁੱਛਗਿੱਛਾਂ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਗੂਗਲ ਕਲਾਉਡ ਪਲੇਟਫਾਰਮ 'ਤੇ ਚੱਲ ਰਹੇ ਸੰਗਠਨਾਤਮਕ ਵਾਤਾਵਰਣ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਕੱਢਣ ਦੇ ਯੋਗ ਬਣਾ ਸਕਦਾ ਸੀ।

ਖਾਮੀਆਂ ਦੇ ਸੰਗ੍ਰਹਿ ਨੂੰ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ LeakyLooker ਨਾਮ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਜੂਨ 2025 ਵਿੱਚ ਜ਼ਿੰਮੇਵਾਰ ਖੁਲਾਸੇ ਰਾਹੀਂ ਮੁੱਦਿਆਂ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ, ਅਤੇ ਉਦੋਂ ਤੋਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਦੂਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਵਰਤਮਾਨ ਵਿੱਚ, ਇਸ ਗੱਲ ਦਾ ਕੋਈ ਸਬੂਤ ਨਹੀਂ ਹੈ ਕਿ ਅਸਲ-ਸੰਸਾਰ ਦੇ ਹਮਲਿਆਂ ਵਿੱਚ ਇਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਸੀ।

ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕ ਚੇਤਾਵਨੀ ਦਿੰਦੇ ਹਨ ਕਿ ਇਹ ਖਾਮੀਆਂ ਪਲੇਟਫਾਰਮ ਵਿੱਚ ਮੁੱਖ ਆਰਕੀਟੈਕਚਰਲ ਧਾਰਨਾਵਾਂ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਸ਼੍ਰੇਣੀ ਪੇਸ਼ ਕਰਦੀਆਂ ਹਨ ਜੋ ਕਈ ਕਲਾਉਡ ਕਿਰਾਏਦਾਰਾਂ ਵਿੱਚ ਡੇਟਾ ਨੂੰ ਹੇਰਾਫੇਰੀ ਜਾਂ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹਨ।

ਲੀਕੀਲੁੱਕਰ ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਦੇ ਪਿੱਛੇ ਨੌਂ ਕਮਜ਼ੋਰੀਆਂ

ਖੋਜ ਨੇ ਪਲੇਟਫਾਰਮ ਦੇ ਵੱਖ-ਵੱਖ ਹਿੱਸਿਆਂ ਅਤੇ ਇਸਦੇ ਡੇਟਾ ਕਨੈਕਟਰਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੀਆਂ ਨੌਂ ਵੱਖਰੀਆਂ ਖਾਮੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਇਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਡੇਟਾਬੇਸ ਕਨੈਕਟਰਾਂ 'ਤੇ ਜ਼ੀਰੋ-ਕਲਿੱਕ SQL ਇੰਜੈਕਸ਼ਨ ਰਾਹੀਂ ਕਰਾਸ-ਟੇਨੈਂਟ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ
• ਸਟੋਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਜ਼ੀਰੋ-ਕਲਿੱਕ SQL ਇੰਜੈਕਸ਼ਨ ਰਾਹੀਂ ਕਰਾਸ-ਟੇਨੈਂਟ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ
• ਕਰਾਸ-ਟੇਨੈਂਟ SQL ਇੰਜੈਕਸ਼ਨ ਜੋ ਨੇਟਿਵ ਫੰਕਸ਼ਨਾਂ ਰਾਹੀਂ BigQuery ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ
• ਹਾਈਪਰਲਿੰਕਸ ਰਾਹੀਂ ਕਰਾਸ-ਟੇਨੈਂਟ ਡੇਟਾ ਸੋਰਸ ਐਕਸਪੋਜ਼ਰ
• ਪੀੜਤ ਦੇ ਡੇਟਾ ਸਰੋਤ 'ਤੇ ਕਸਟਮ ਪੁੱਛਗਿੱਛਾਂ ਰਾਹੀਂ ਸਪੈਨਰ ਅਤੇ ਬਿਗਕੁਏਰੀ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲਾ ਕਰਾਸ-ਟੇਨੈਂਟ SQL ਇੰਜੈਕਸ਼ਨ
• ਲੁੱਕਰ ਲਿੰਕਿੰਗ API ਰਾਹੀਂ ਕਰਾਸ-ਟੇਨੈਂਟ SQL ਇੰਜੈਕਸ਼ਨ, BigQuery ਅਤੇ Spanner ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ
• ਚਿੱਤਰ ਰੈਂਡਰਿੰਗ ਰਾਹੀਂ ਕਰਾਸ-ਟੇਨੈਂਟ ਡੇਟਾ ਲੀਕੇਜ
• ਫਰੇਮ ਕਾਉਂਟਿੰਗ ਅਤੇ ਟਾਈਮਿੰਗ-ਅਧਾਰਿਤ ਸਾਈਡ ਚੈਨਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਮਨਮਾਨੇ ਡੇਟਾ ਸਰੋਤਾਂ 'ਤੇ ਕਰਾਸ-ਟੇਨੈਂਟ XS-ਲੀਕ
• BigQuery ਸਰੋਤ ਖਪਤ ਰਾਹੀਂ ਕਰਾਸ-ਟੇਨੈਂਟ ਇਨਕਾਰ-ਆਫ-ਵਾਲਿਟ ਹਮਲੇ

ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ, ਇਹ ਮੁੱਦੇ ਵਿਰੋਧੀਆਂ ਨੂੰ ਗੂਗਲ ਕਲਾਉਡ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਕੰਮ ਕਰਨ ਵਾਲੀਆਂ ਪੀੜਤ ਸੇਵਾਵਾਂ ਤੋਂ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰਨ, ਪਾਉਣ ਜਾਂ ਮਿਟਾਉਣ ਦੀ ਆਗਿਆ ਦੇ ਸਕਦੇ ਹਨ।

ਡਾਟਾ ਕਨੈਕਟਰਾਂ ਵਿੱਚ ਵਿਆਪਕ ਐਕਸਪੋਜ਼ਰ

ਇਹ ਕਮਜ਼ੋਰੀਆਂ ਲੁੱਕਰ ਸਟੂਡੀਓ ਡੇਟਾ ਏਕੀਕਰਣ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਸੰਗਠਨਾਂ ਲਈ ਜੋਖਮ ਪੈਦਾ ਕਰਦੀਆਂ ਹਨ। ਪ੍ਰਭਾਵਿਤ ਈਕੋਸਿਸਟਮ ਕਈ ਸਟੋਰੇਜ ਪਲੇਟਫਾਰਮਾਂ ਅਤੇ ਡੇਟਾਬੇਸਾਂ ਨੂੰ ਫੈਲਾਉਂਦਾ ਹੈ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਵਰਤੇ ਜਾਂਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL, ਅਤੇ Google Cloud Storage ਸ਼ਾਮਲ ਹਨ।

ਲੁੱਕਰ ਸਟੂਡੀਓ ਡੈਸ਼ਬੋਰਡਾਂ ਵਿੱਚ ਇਹਨਾਂ ਕਨੈਕਟਰਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਵਾਲੀ ਕੋਈ ਵੀ ਸੰਸਥਾ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਪ੍ਰਭਾਵਿਤ ਹੋ ਸਕਦੀ ਸੀ, ਕਿਉਂਕਿ ਕਮਜ਼ੋਰੀਆਂ ਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਕਿਰਾਏਦਾਰਾਂ ਦੀਆਂ ਸੀਮਾਵਾਂ ਨੂੰ ਪਾਰ ਕਰਨ ਅਤੇ ਵੱਖ-ਵੱਖ ਕਲਾਉਡ ਪ੍ਰੋਜੈਕਟਾਂ ਨਾਲ ਸਬੰਧਤ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ।

ਸ਼ੋਸ਼ਣ ਦੇ ਰਸਤੇ: ਜਨਤਕ ਰਿਪੋਰਟਾਂ ਤੋਂ ਡੇਟਾਬੇਸ ਨਿਯੰਤਰਣ ਤੱਕ

ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਦੱਸੇ ਗਏ ਹਮਲੇ ਦੇ ਦ੍ਰਿਸ਼ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਹਮਲਾਵਰ ਜਨਤਕ ਤੌਰ 'ਤੇ ਪਹੁੰਚਯੋਗ ਡੈਸ਼ਬੋਰਡਾਂ ਦਾ ਲਾਭ ਕਿਵੇਂ ਲੈ ਸਕਦੇ ਹਨ ਜਾਂ ਨਿੱਜੀ ਤੌਰ 'ਤੇ ਸਾਂਝੀਆਂ ਕੀਤੀਆਂ ਰਿਪੋਰਟਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਖਤਰਨਾਕ ਵਿਅਕਤੀ ਜੁੜੇ ਡੇਟਾਬੇਸਾਂ ਦੇ ਨਿਯੰਤਰਣ ਨੂੰ ਜ਼ਬਤ ਕਰਨ ਲਈ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਫਾਇਦਾ ਉਠਾ ਸਕਦੇ ਹਨ।

ਇੱਕ ਦ੍ਰਿਸ਼ ਵਿੱਚ BigQuery ਵਰਗੇ ਡੇਟਾ ਸਰੋਤਾਂ ਨਾਲ ਜੁੜੀਆਂ ਜਨਤਕ ਤੌਰ 'ਤੇ ਪਹੁੰਚਯੋਗ ਲੁੱਕਰ ਸਟੂਡੀਓ ਰਿਪੋਰਟਾਂ ਦੀ ਸਕੈਨਿੰਗ ਸ਼ਾਮਲ ਸੀ। ਇੰਜੈਕਸ਼ਨ ਖਾਮੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ, ਹਮਲਾਵਰ ਮਾਲਕ ਦੇ ਪੂਰੇ ਕਲਾਉਡ ਪ੍ਰੋਜੈਕਟ ਵਿੱਚ ਮਨਮਾਨੇ SQL ਪੁੱਛਗਿੱਛਾਂ ਨੂੰ ਚਲਾ ਸਕਦੇ ਸਨ, ਜਿਸ ਨਾਲ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਡੇਟਾ ਕੱਢਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾ ਸਕਦਾ ਸੀ।

ਇੱਕ ਹੋਰ ਹਮਲੇ ਦੇ ਮਾਰਗ ਨੇ ਰਿਪੋਰਟ-ਕਾਪੀ ਕਰਨ ਦੇ ਵਿਧੀ ਵਿੱਚ ਇੱਕ ਤਰਕਪੂਰਨ ਨੁਕਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ। ਜਦੋਂ ਇੱਕ ਪੀੜਤ ਨੇ ਇੱਕ ਰਿਪੋਰਟ ਸਾਂਝੀ ਕੀਤੀ, ਜਾਂ ਤਾਂ ਜਨਤਕ ਤੌਰ 'ਤੇ ਜਾਂ ਖਾਸ ਉਪਭੋਗਤਾਵਾਂ ਨਾਲ, ਅਤੇ ਰਿਪੋਰਟ ਵਿੱਚ JDBC-ਅਧਾਰਤ ਡੇਟਾ ਸਰੋਤ ਜਿਵੇਂ ਕਿ PostgreSQL ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ, ਤਾਂ ਹਮਲਾਵਰ ਅਸਲ ਮਾਲਕ ਦੇ ਸਟੋਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਦੇ ਹੋਏ ਰਿਪੋਰਟ ਦੀ ਨਕਲ ਕਰ ਸਕਦੇ ਸਨ। ਇਸ ਨੁਕਸ ਨੇ ਅਣਅਧਿਕਾਰਤ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਡੇਟਾਬੇਸ ਟੇਬਲਾਂ ਨੂੰ ਸੋਧਣ ਜਾਂ ਮਿਟਾਉਣ ਵਰਗੀਆਂ ਕਾਰਵਾਈਆਂ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਉੱਚ-ਪ੍ਰਭਾਵ ਤਕਨੀਕ ਦਾ ਵੀ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਜੋ ਇੱਕ-ਕਲਿੱਕ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ। ਇਸ ਦ੍ਰਿਸ਼ ਵਿੱਚ, ਇੱਕ ਪੀੜਤ ਜਿਸਨੇ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀ ਰਿਪੋਰਟ ਖੋਲ੍ਹੀ ਸੀ, ਨੇ ਖਤਰਨਾਕ ਬ੍ਰਾਊਜ਼ਰ ਗਤੀਵਿਧੀ ਨੂੰ ਚਾਲੂ ਕੀਤਾ ਜੋ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਪ੍ਰੋਜੈਕਟ ਨਾਲ ਸੰਚਾਰ ਕਰਦੀ ਸੀ। ਲੌਗ ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਪੁਨਰ ਨਿਰਮਾਣ ਦੁਆਰਾ, ਹਮਲਾਵਰ ਕੈਪਚਰ ਕੀਤੇ ਡੇਟਾ ਤੋਂ ਪੂਰੇ ਡੇਟਾਬੇਸ ਨੂੰ ਦੁਬਾਰਾ ਬਣਾ ਸਕਦਾ ਹੈ।

ਟੁੱਟਿਆ ਹੋਇਆ ਵਿਸ਼ਵਾਸ ਮਾਡਲ: ਦਰਸ਼ਕਾਂ ਦੀਆਂ ਇਜਾਜ਼ਤਾਂ ਪਲੇਟਫਾਰਮ ਦੇ ਵਿਰੁੱਧ ਹੋ ਗਈਆਂ

ਕਮਜ਼ੋਰੀਆਂ ਨੇ ਲੁੱਕਰ ਸਟੂਡੀਓ ਦੇ ਇੱਕ ਮੁੱਖ ਡਿਜ਼ਾਈਨ ਸਿਧਾਂਤ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਕਮਜ਼ੋਰ ਕਰ ਦਿੱਤਾ: ਇਹ ਧਾਰਨਾ ਕਿ ਦਰਸ਼ਕ-ਪੱਧਰ ਦੀ ਪਹੁੰਚ ਵਾਲੇ ਉਪਭੋਗਤਾ ਅੰਡਰਲਾਈੰਗ ਡੇਟਾ ਨੂੰ ਨਿਯੰਤਰਿਤ ਜਾਂ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਕਰ ਸਕਦੇ।

ਖੋਜੀਆਂ ਗਈਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਫਾਇਦਾ ਉਠਾ ਕੇ, ਹਮਲਾਵਰ ਇਸ ਸੁਰੱਖਿਆ ਸੀਮਾ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਸਕਦੇ ਸਨ ਅਤੇ ਜੁੜੀਆਂ ਸੇਵਾਵਾਂ ਨਾਲ ਸਿੱਧਾ ਸੰਪਰਕ ਕਰ ਸਕਦੇ ਸਨ। ਇਸ ਸਮਰੱਥਾ ਨੇ ਅਣਅਧਿਕਾਰਤ ਡੇਟਾ ਕੱਢਣ, ਹੇਰਾਫੇਰੀ ਅਤੇ ਕਰਾਸ-ਟੇਨੈਂਟ ਪਹੁੰਚ ਦਾ ਦਰਵਾਜ਼ਾ ਖੋਲ੍ਹ ਦਿੱਤਾ, ਜਿਸ ਨਾਲ BigQuery ਅਤੇ Google Sheets ਵਰਗੀਆਂ ਸੇਵਾਵਾਂ ਪ੍ਰਭਾਵਿਤ ਹੋਈਆਂ।

ਹਾਲਾਂਕਿ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਹੁਣ ਠੀਕ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਪਰ ਇਹ ਖੋਜਾਂ ਮਲਟੀ-ਟੇਨੈਂਟ ਕਲਾਉਡ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਸਖ਼ਤ ਸੁਰੱਖਿਆ ਡਿਜ਼ਾਈਨ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ, ਜਿੱਥੇ ਇੱਕ ਸਿੰਗਲ ਲਾਜਿਕ ਫਲਾਅ ਵਿਆਪਕ ਅੰਤਰ-ਵਾਤਾਵਰਣ ਐਕਸਪੋਜਰ ਵਿੱਚ ਕੈਸਕੇਡ ਹੋ ਸਕਦਾ ਹੈ।