Pesquisadores de segurança cibernética divulgaram nove vulnerabilidades entre locatários no Google Looker Studio que poderiam ter permitido que invasores executassem consultas SQL arbitrárias nos bancos de dados das vítimas e exfiltrassem dados confidenciais nos ambientes do Google Cloud das organizações.
As deficiências foram nomeadas coletivamente LeakyLooker da Tenable. Não há evidências de que as vulnerabilidades tenham sido exploradas em estado selvagem. Após a divulgação responsável em junho de 2025, os problemas foram resolvidos pelo Google.
A lista de falhas de segurança é a seguinte –
“As vulnerabilidades quebraram suposições fundamentais de design, revelaram uma nova classe de ataque e poderiam ter permitido que invasores exfiltrassem, inserissem e excluíssem dados nos serviços das vítimas e no ambiente do Google Cloud”, disse a pesquisadora de segurança Liv Matan. disse em um relatório compartilhado com The Hacker News.
“Essas vulnerabilidades expuseram dados confidenciais em ambientes do Google Cloud Platform (GCP), afetando potencialmente qualquer organização que usa Planilhas Google, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage e quase qualquer outro conector de dados do Looker Studio.”
A exploração bem-sucedida das falhas entre locatários poderia permitir que os atores da ameaça obtivessem acesso a conjuntos de dados e projetos inteiros em diferentes locatários da nuvem.
Os invasores podem procurar relatórios públicos do Looker Studio ou obter acesso a relatórios privados que usam esses conectores (por exemplo, BigQuery) e assumir o controle dos bancos de dados, permitindo-lhes executar consultas SQL arbitrárias em todo o projeto GCP do proprietário.
Alternativamente, a vítima cria um relatório como público ou o compartilha com um destinatário específico e usa uma fonte de dados conectada por JDBC, como o PostgreSQL. Nesse cenário, o invasor pode aproveitar uma falha lógica no recurso de cópia de relatório que possibilita clonar relatórios mantendo as credenciais do proprietário original, permitindo-lhes excluir ou modificar tabelas.
Outro caminho de alto impacto detalhado pela empresa de segurança cibernética envolveu a exfiltração de dados com um clique, onde o compartilhamento de um relatório especialmente elaborado força o navegador da vítima a executar código malicioso que entra em contato com um projeto controlado pelo invasor para reconstruir bancos de dados inteiros a partir de registros.
“As vulnerabilidades quebraram a promessa fundamental de que um ‘visualizador’ nunca deveria ser capaz de controlar os dados que está visualizando”, disse Matan, acrescentando que “poderiam ter permitido que invasores exfiltrassem ou modificassem dados em serviços do Google, como BigQuery e Google Sheets”.
Deseja saber mais sobre Golpes Online, Spam, Phishing e Cibersegurança Clique Aqui!