Критические уязвимости «LeakyLooker» в Google Looker Studio раскрывали данные между клиентами
Компания по кибербезопасности Tenable раскрыла набор из девяти критических уязвимостей, получивших общее название «LeakyLooker», в бизнес-платформе Google Looker Studio. Эти фундаментальные изъяны нарушали модель безопасности платформы, позволяя злоумышленникам выполнять произвольные SQL-запросы к базам данных жертв. Это могло привести к несанкционированному извлечению, добавлению или удалению конфиденциальных данных в средах Google Cloud Platform различных организаций. Уязвимости, ответственно раскрытые Google в июне 2025 года, уже исправлены; свидетельств их эксплуатации в дикой природе не обнаружено.
Потенциальное воздействие было масштабным, затрагивая любую организацию, использующую коннекторы данных Looker Studio. Это включает интеграции с ключевыми сервисами Google, такими как Google Sheets, BigQuery, Cloud Storage и Spanner, а также внешние базы данных через JDBC-коннекторы для PostgreSQL, MySQL и других. По словам исследователя Tenable Лив Матан, изъяны позволяли злоумышленникам получать доступ ко всем наборам данных и проектам в разных облачных тенантах, фактически нарушая изоляцию между клиентами GCP.
Эксплуатация могла осуществляться через несколько векторов. Злоумышленник мог сканировать публично доступные отчёты Looker Studio или получить доступ к приватным, использовавшим уязвимые коннекторы, например BigQuery. Используя уязвимости, можно было захватить контроль над базовой базой данных и выполнять произвольные SQL-команды в рамках всего проекта жертвы в GCP. Особо коварный путь включал логическую ошибку в функции «копировать отчёт». Если жертва создавала отчёт, используя источник данных с JDBC-подключением, и делилась им, злоумышленник мог клонировать отчёт. Критически важно, что клон сохранял учётные данные базы данных первоначального владельца, предоставляя атакующему постоянный доступ для изменения или удаления таблиц.
Ещё один опасный вектор атаки, описанный Tenable, включал однонаправленную эксфильтрацию данных. В этом сценарии жертву можно было обманом заставить открыть специально созданный вредоносный отчёт Looker Studio. Это действие заставляло браузер жертвы автоматически выполнять запросы, перекачивая данные из её собственных подключённых источников прямо на сервер, контролируемый злоумышленником. Совокупность этих уязвимостей создавала серьёзный риск, подрывая доверие к многопользовательским облачным аналитическим сервисам.
Данное раскрытие подчёркивает критическую важность тщательных проверок безопасности для сложных облачных платформ, где один изъян может скомпрометировать границы между клиентами. Инцидент служит суровым напоминанием организациям о необходимости строгого контроля доступа к отчётам и регулярного аудита конфигураций интеграций с базами данных.
