Cybersecurity-onderzoekers hebben negen cross-tenant kwetsbaarheden in Google Looker Studio onthuld die aanvallers in staat hadden kunnen stellen willekeurige SQL-query’s uit te voeren op de databases van slachtoffers en gevoelige gegevens binnen de Google Cloud-omgevingen van organisaties te exfiltreren.
De tekortkomingen zijn gezamenlijk benoemd Lekkende Looker door Tenabel. Er is geen bewijs dat de kwetsbaarheden in het wild zijn misbruikt. Na verantwoorde openbaarmaking in juni 2025 zijn de problemen door Google aangepakt.
De lijst met beveiligingsfouten is als volgt:
“De kwetsbaarheden doorbraken fundamentele ontwerpaannames, onthulden een nieuwe aanvalsklasse en hadden aanvallers in staat kunnen stellen gegevens in de diensten van slachtoffers en de Google Cloud-omgeving te exfiltreren, in te voegen en te verwijderen”, zei beveiligingsonderzoeker Liv Matan in een rapport gedeeld met The Hacker News.
“Deze kwetsbaarheden hebben gevoelige gegevens blootgelegd in Google Cloud Platform (GCP)-omgevingen, wat mogelijk gevolgen heeft voor elke organisatie die Google Spreadsheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage en vrijwel elke andere Looker Studio-dataconnector gebruikt.”
Succesvolle exploitatie van de cross-tenant-fouten zou bedreigingsactoren in staat kunnen stellen toegang te krijgen tot volledige datasets en projecten in verschillende cloud-tenants.
Aanvallers kunnen zoeken naar openbare Looker Studio-rapporten of toegang krijgen tot privérapporten die deze connectoren gebruiken (bijvoorbeeld BigQuery) en de controle over de databases overnemen, waardoor ze willekeurige SQL-query’s kunnen uitvoeren in het gehele GCP-project van de eigenaar.
Als alternatief kan een slachtoffer een openbaar rapport maken of dit delen met een specifieke ontvanger, en gebruik maken van een JDBC-verbonden gegevensbron zoals PostgreSQL. In dit scenario kan de aanvaller profiteren van een logische fout in de functie voor het kopiëren van rapporten, waardoor het mogelijk wordt rapporten te klonen met behoud van de inloggegevens van de oorspronkelijke eigenaar, waardoor deze tabellen kan verwijderen of wijzigen.
Een ander pad met grote impact dat door het cyberbeveiligingsbedrijf werd beschreven, was data-exfiltratie met één klik, waarbij het delen van een speciaal vervaardigd rapport de browser van een slachtoffer dwingt kwaadaardige code uit te voeren die contact maakt met een door de aanvaller gecontroleerd project om volledige databases uit logbestanden te reconstrueren.
“De kwetsbaarheden verbraken de fundamentele belofte dat een ‘kijker’ nooit controle zou mogen hebben over de gegevens die hij bekijkt,” zei Matan, eraan toevoegend dat hij “aanvallers gegevens had kunnen laten exfiltreren of wijzigen in Google-services zoals BigQuery en Google Spreadsheets.”
