Pesquisadores de cibersegurança revelaram nove vulnerabilidades cross-tenant no Google Looker Studio que poderiam permitir a atacantes executar consultas SQL arbitrárias em bancos de dados de vítimas e exfiltrar dados sensíveis dentro dos ambientes do Google Cloud de diversas organizações.
Batizadas coletivamente de LeakyLooker pela empresa Tenable, essas falhas não apresentam, até o momento, evidências de exploração em ataques reais.
Após a divulgação responsável em junho de 2025, o Google corrigiu as vulnerabilidades.
A lista das falhas inclui:
- Acesso não autorizado cross-tenant via SQL Injection sem interação (zero-click) em conectores de banco de dados
- SQL Injection zero-click por meio de credenciais armazenadas
- SQL Injection no BigQuery por meio de funções nativas
- Vazamento de fontes de dados cross-tenant via hyperlinks
- SQL Injection cross-tenant no Spanner e BigQuery por consultas customizadas em fontes de dados da vítima
- SQL Injection no BigQuery e Spanner via API de linking
- Vazamento de fontes de dados cross-tenant por renderização de imagens
- XS Leak cross-tenant em fontes arbitrárias usando frame counting e timing oracles
- Negação de serviço (Denial of Wallet) no BigQuery
“A pesquisa revelou que as vulnerabilidades quebraram premissas fundamentais do design, criando uma nova classe de ataques que poderiam permitir a exfiltração, inserção e exclusão de dados em serviços das vítimas e ambientes do Google Cloud”, afirmou Liv Matan, pesquisadora de segurança.
Essas falhas expuseram dados sensíveis em diversas plataformas do Google Cloud (GCP), potencialmente impactando qualquer organização que utilize ferramentas como Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage e praticamente qualquer outro conector de dados do Looker Studio.
A exploração bem-sucedida dessas vulnerabilidades permitiria que invasores acessassem conjuntos completos de dados e projetos em diferentes tenants da nuvem.
Os atacantes poderiam identificar relatórios públicos do Looker Studio ou obter acesso a relatórios privados que usam certos conectores, como BigQuery, para controlar bancos de dados e executar consultas SQL arbitrárias em todo o projeto GCP do proprietário.
Outro cenário destacado envolve a criação de relatórios públicos ou compartilhados com usuários específicos que utilizam fontes de dados conectadas via JDBC, como PostgreSQL.
Nesse caso, um erro lógico na função de copiar relatórios permite clonar o relatório mantendo as credenciais originais do proprietário, abrindo caminho para a exclusão ou alteração de tabelas.
Uma abordagem de alto impacto, detalhada pela Tenable, refere-se à exfiltração de dados com um único clique.
Ao compartilhar um relatório especialmente manipulado, o navegador da vítima executa código malicioso que se comunica com um projeto controlado pelo atacante para reconstruir bancos inteiros a partir dos logs.
“As vulnerabilidades violaram o princípio básico de que um ‘Viewer’ jamais deveria controlar os dados que visualiza”, ressalta Matan, acrescentando que “os invasores poderiam exfiltrar ou modificar dados em serviços do Google, como BigQuery e Google Sheets”.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...