Уязвимости LeakyLooker

Исследователи в области кибербезопасности выявили девять уязвимостей в Google Looker Studio, затрагивающих несколько учетных записей пользователей, которые могли позволить злоумышленникам выполнять произвольные SQL-запросы к базам данных жертв и извлекать конфиденциальную информацию из организационных сред, работающих на платформе Google Cloud Platform.

Совокупность обнаруженных уязвимостей получила название LeakyLooker. Исследователи сообщили об этих проблемах в рамках механизма ответственного раскрытия информации в июне 2025 года, и с тех пор уязвимости были устранены. В настоящее время нет никаких доказательств того, что эти уязвимости были использованы в реальных атаках.

Аналитики в области безопасности предупреждают, что обнаруженные недостатки подрывают основные архитектурные предположения платформы и вводят ранее неизвестный класс атак, способных манипулировать данными или извлекать их из множества облачных сервисов.

Девять уязвимостей, скрывающихся за поверхностью атаки LeakyLooker.

В ходе исследования было выявлено девять различных уязвимостей, затрагивающих разные компоненты платформы и ее коннекторы данных. К этим уязвимостям относятся:

• Несанкционированный доступ между пользователями через SQL-инъекции без клика в коннекторах баз данных.
• Несанкционированный доступ между пользователями через SQL-инъекцию без клика с использованием сохраненных учетных данных.
• Межпользовательская SQL-инъекция, нацеленная на BigQuery через собственные функции.
• Доступ к источникам данных между пользователями через гиперссылки.
• Межпользовательская SQL-инъекция, затрагивающая Spanner и BigQuery посредством пользовательских запросов к источнику данных жертвы.
• Межпользовательская SQL-инъекция через API связывания Looker, затрагивающая BigQuery и Spanner.
• Утечка данных между арендаторами через рендеринг изображений.
• Межпользовательская утечка XS-данных из произвольных источников данных с использованием подсчета кадров и побочных каналов, основанных на времени.
• Межпользовательские атаки типа «отказ в доступе к кошельку» за счет потребления ресурсов BigQuery

В совокупности эти проблемы могут позволить злоумышленникам получать, вставлять или удалять данные из сервисов жертв, работающих в средах Google Cloud.

Широкое распространение через коннекторы данных

Уязвимости представляли риски для организаций, использующих широкий спектр интеграций данных Looker Studio. Затронутая экосистема охватывает множество платформ хранения данных и баз данных, широко используемых в корпоративных средах, включая Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL и Google Cloud Storage.

Любая организация, использующая эти коннекторы в панелях мониторинга Looker Studio, потенциально могла пострадать, поскольку уязвимости позволяли злоумышленникам обходить границы арендаторов и получать доступ к ресурсам, принадлежащим различным облачным проектам.

Пути эксплуатации: от публичных отчетов до контроля над базами данных.

Описанные исследователями сценарии атак демонстрируют, как злоумышленники могут использовать общедоступные панели мониторинга или получить доступ к отчетам, которыми делятся только частные лица. Получив доступ, злоумышленники могут использовать уязвимости для захвата контроля над подключенными базами данных.

Один из сценариев включал сканирование общедоступных отчетов Looker Studio, связанных с такими источниками данных, как BigQuery. Используя уязвимости внедрения кода, злоумышленники могли выполнять произвольные SQL-запросы по всему облачному проекту владельца, что позволяло осуществлять крупномасштабное извлечение данных.

Другой способ атаки использовал логическую ошибку в механизме копирования отчетов. Когда жертва делилась отчетом, публично или с определенными пользователями, и отчет использовал источник данных на основе JDBC, например PostgreSQL, злоумышленники могли скопировать отчет, сохранив при этом учетные данные первоначального владельца. Эта ошибка позволяла неавторизованным пользователям выполнять такие действия, как изменение или удаление таблиц базы данных.

Исследователи также продемонстрировали высокоэффективную технику, позволяющую осуществлять утечку данных одним щелчком мыши. В этом сценарии жертва, открывшая специально созданный отчет, запускала вредоносную активность в браузере, которая взаимодействовала с проектом, контролируемым злоумышленником. С помощью анализа и восстановления логов злоумышленник мог восстановить целые базы данных из захваченных данных.

Нарушение модели доверия: права доступа пользователей используются против платформы.

Уязвимости фактически подорвали основной принцип проектирования Looker Studio: предположение о том, что пользователи с правами доступа уровня «просмотрщик» не могут контролировать или влиять на исходные данные.

Используя обнаруженные уязвимости, злоумышленники могли обойти эту границу безопасности и напрямую взаимодействовать с подключенными сервисами. Эта возможность открыла путь для несанкционированного извлечения, манипулирования данными и доступа к ним из разных учетных записей, что повлияло на такие сервисы, как BigQuery и Google Sheets.

Хотя уязвимости уже устранены, полученные результаты подчеркивают важность тщательной разработки системы безопасности в многопользовательских облачных платформах, где одна логическая ошибка может привести к масштабной уязвимости в различных средах.