Vulnerabilități LeakyLooker
Cercetătorii în domeniul securității cibernetice au dezvăluit un set de nouă vulnerabilități cross-tenant în Google Looker Studio, care ar fi putut permite atacatorilor să execute interogări SQL arbitrare împotriva bazelor de date ale victimelor și să extragă informații sensibile din mediile organizaționale care rulează pe Google Cloud Platform.
Colecția de defecte a fost denumită colectiv LeakyLooker. Cercetătorii au raportat problemele prin intermediul dezvăluirii responsabile în iunie 2025, iar vulnerabilitățile au fost remediate ulterior. În prezent, nu există dovezi care să indice că aceste slăbiciuni au fost exploatate în atacuri din lumea reală.
Analiștii în domeniul securității avertizează că aceste defecte subminează ipotezele arhitecturale de bază ale platformei și introduc o clasă de atacuri nerecunoscută anterior, capabile să manipuleze sau să extragă date din mai multe entități cloud.
Cuprins
Cele nouă vulnerabilități din spatele suprafeței de atac LeakyLooker
Cercetarea a identificat nouă defecte distincte care afectează diferite componente ale platformei și conectorii săi de date. Aceste vulnerabilități includ:
- Acces neautorizat între entități prin injecție SQL fără clic pe conectorii bazei de date
- Acces neautorizat între utilizatori prin injecție SQL fără clic folosind acreditările stocate
- Injecție SQL între entități care vizează BigQuery prin funcții native
- Expunerea surselor de date între entități găzduite prin hyperlinkuri
- Injecție SQL între entități care afectează Spanner și BigQuery prin intermediul unor interogări personalizate pe sursa de date a unei victime
- Injecție SQL între entități prin intermediul API-ului de legătură Looker, care afectează BigQuery și Spanner
- Scurgere de date între chiriași prin randarea imaginilor
- Cross-tenant XS-Leak pe surse de date arbitrare folosind numărarea cadrelor și canale laterale bazate pe temporizare
- Atacuri de tip „denial-of-wallet” între chiriași prin consumul de resurse BigQuery
Împreună, aceste probleme ar putea permite adversarilor să recupereze, să insereze sau să șteargă date din serviciile victime care operează în mediile Google Cloud.
Expunere extinsă în conectorii de date
Vulnerabilitățile au prezentat riscuri pentru organizațiile care utilizează o gamă largă de integrări de date Looker Studio. Ecosistemul afectat se întinde pe mai multe platforme de stocare și baze de date utilizate în mod obișnuit în mediile enterprise, inclusiv Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL și Google Cloud Storage.
Orice organizație care se bazează pe acești conectori din tablourile de bord Looker Studio ar fi putut fi afectată, deoarece vulnerabilitățile au permis atacatorilor să traverseze limitele entităților găzduite și să acceseze resurse aparținând diferitelor proiecte cloud.
Căi de exploatare: De la rapoarte publice la controlul bazelor de date
Scenariile de atac descrise de cercetători demonstrează cum atacatorii ar putea utiliza tablouri de bord accesibile publicului sau ar putea obține acces la rapoarte partajate privat. Odată ce accesul a fost obținut, actorii rău intenționați ar putea exploata vulnerabilitățile pentru a prelua controlul asupra bazelor de date conectate.
Un scenariu a implicat scanarea rapoartelor Looker Studio accesibile publicului, conectate la surse de date precum BigQuery. Prin exploatarea defectelor de injectare, atacatorii puteau executa interogări SQL arbitrare pe întregul proiect cloud al proprietarului, permițând extragerea datelor la scară largă.
O altă cale de atac a exploatat o eroare logică în mecanismul de copiere a rapoartelor. Atunci când o victimă partaja un raport, fie public, fie cu anumiți utilizatori, iar raportul utiliza o sursă de date bazată pe JDBC, cum ar fi PostgreSQL, atacatorii puteau duplica raportul, păstrând în același timp acreditările stocate ale proprietarului original. Această eroare permitea utilizatorilor neautorizați să efectueze acțiuni precum modificarea sau ștergerea tabelelor din baza de date.
Cercetătorii au demonstrat, de asemenea, o tehnică de mare impact care permite exfiltrarea datelor cu un singur clic. În acest scenariu, o victimă care a deschis un raport special conceput a declanșat o activitate malițioasă a browserului care a comunicat cu un proiect controlat de atacator. Prin analiza și reconstrucția jurnalelor, atacatorul a putut reconstrui baze de date întregi din datele capturate.
Modelul de încredere defectă: Permisiunile spectatorilor întoarse împotriva platformei
Vulnerabilitățile au subminat efectiv un principiu fundamental de design al Looker Studio: presupunerea că utilizatorii cu acces la nivel de vizualizare nu pot controla sau influența datele subiacente.
Prin exploatarea punctelor slabe descoperite, atacatorii puteau ocoli această limită de securitate și interacționa direct cu serviciile conectate. Această capacitate a deschis calea către extragerea, manipularea și accesul între utilizatori neautorizați ai datelor, afectând servicii precum BigQuery și Google Sheets.
Deși vulnerabilitățile au fost acum remediate, descoperirile evidențiază importanța unui design riguros al securității în platformele cloud cu mai mulți utilizatori, unde o singură eroare logică poate duce la o expunere extinsă în mai multe medii.
