Anfang dieses Jahres zeigten Sicherheitsforscher eine Reihe von Fehlern, die Looker Studio beeinflussten, Googles Tool, um Berichte und Panels aus verschiedenen Datenquellen zu erstellen. Tendable taufte dieses Paket von Mängeln als LeakyLooker und beschrieben es als eine Reihe von Schwächen von "cross-tenant" in der Lage, am schlimmsten der Szenarien, einen Angreifer zu erlauben, willkürliche SQL-Beratungen gegen ausländische Datenbanken zu führen und sensible Informationen, die innerhalb von Google Cloud-Projekten gehostet werden, zu extrahieren.
Obwohl es keine Anzeichen dafür gibt, dass diese Löcher in realen Umgebungen ausgenutzt wurden, stellte die Forschung fest, dass die potenziellen Auswirkungen ernst waren. Nach einer verantwortlichen Mitteilung im Juni 2025 hat Google Korrekturen vorgenommen. Der öffentliche Bericht von Tenable über diese Untersuchungen ist mit ausführlichen technischen Erläuterungen, beispielsweise in dieser allgemeinen Analyse, verfügbar. veröffentlicht von der Tenable.
Die identifizierten Schwachstellen umfassen mehrere verschiedene Vektoren: SQL-Injektionen, die keine Benutzerinteraktion erfordern (Null-Klick), Anmeldeinformationen Missbrauch in JDBC-Steckverbindern gespeichert, native Funktionsausfälle, die in BigQuery, Datenquelle Lecks durch Links oder Bildwiedergabe, Zeitfiltertechniken und Rahmenzählung, und sogar eine Möglichkeit, Ressourcen-denial Effekte in BigQuery zu verursachen. Tendable dokumentiert jeweils mit einem eigenen technischen Datenblatt, öffentlich zugänglich, beispielsweise hier über die Injektion durch gespeicherte Steckverbinder und Anmeldeinformationen TRA-2025-28 und TRA-2025-29 oder spezifische Probleme im Zusammenhang mit BigQuery und Spanner TRA-2025-27 und TRA-2025-37.
Was diese Fehler besonders stört, ist nicht nur die Möglichkeit, böswillige SQL Sätze auszuführen, sondern die kreuzschneidende Natur des Problems: viele Organisationen verbinden Looker Studio mit Dienstleistungen wie BigQuery, Spanner, Google Sheets, PostgreSQL, MySQL oder Cloud Storage, um Panels zu erstellen. Wenn ein Angreifer eine dieser Ketten ausnutzen kann, kann er öffentliche Berichte scannen oder einen gemeinsamen Bericht verwenden, um Anmeldeinformationen zu erreichen und von dort aus auf vollständige Datensätze innerhalb verschiedener GCP-Projekte zuzugreifen.
Ein von Forschern beschriebenes Szenario zeigt, wie ein scheinbar unschuldiger Fluss - zum Beispiel eine Visualisierung öffentlich machen oder mit einem Mitarbeiter teilen - zu einem Angriffsvektor werden kann. Dank eines Ausfalls in der Logik der Kopierberichte könnte ein Gegner einen Bericht klonen und die Anmeldeinformationen des ursprünglichen Eigentümers behalten, mit der anschließenden Möglichkeit, Tabellen in der verknüpften Datenbank zu ändern oder zu löschen. In anderen dokumentierten Fällen reichte es dem Opfer aus, einen Ad-hoc-Bericht für seinen Browser zu öffnen oder zu visualisieren, um Code auszuführen, der ein vom Angreifer kontrolliertes Projekt kontaktierte und die Datenrekonstruktion aus Datensätzen erleichterte.
In den Worten des verantwortlichen Forschers brachen diese Schwachstellen eine der grundlegenden Garantien des Systems: dass eine Rolle nur des Lesens oder " Zuschauers" nicht in der Lage sein sollte, die von ihm visualisierten Daten zu manipulieren oder zu kontrollieren. In der Tat zeigte die Forschung Möglichkeiten, wie ein Benutzer mit minimalen Genehmigungen indirekt die Exfiltration oder Änderung von Informationen in Dienstleistungen wie BigQuery und Google Sheets verursachen könnte.
Aus einer defensiven Perspektive, die Veröffentlichung von Tenable und Googles Antwort markieren mehrere praktische Lektionen, die jedes Sicherheitsteam oder Cloud-Manager berücksichtigen sollte. Es wird empfohlen, zu überprüfen, welche Looker Studio-Berichte öffentlich zugänglich sind, die Konnektoren zu überprüfen, die Anmeldeinformationen speichern und das Prinzip der geringfügigen Privilegien in Servicekonten und verwandten Anmeldeinformationen anzuwenden. Google hält Dokumentation über Looker Studio, die hilft zu verstehen, wie Berichte geteilt und verwaltet werden, zum Beispiel im Help Center Studio mit Blick, und diejenigen, die BigQuery verwenden, können Best Practices auf der Seite überprüfen Großes Angebot und Google Cloud Sicherheitsführer in cloud.google.com / Sicherheit.
Es ist wichtig zu betonen, dass die Fehler das Ergebnis komplexer logischer Kombinationen und nicht eines einzigen trivialen Fehlers waren: der vollständige Angriff erfordert, mehrere Bedingungen zu ketten und unerwartete Verhaltensweisen auf der Plattform zu nutzen. Die Existenz dieser Ketten zeigt jedoch, dass die Schnittstellen zwischen Dienstleistungen und der Verwaltung von Anmeldeinformationen kritische Bereiche sind, die starre Tests und aktualisierte Bedrohungsmodelle erfordern.
Verantwortliche Offenlegung war der Schlüssel zur Risikominderung: Im Juni 2025 wurde Google auf Tenable informiert und nach der Zusammenarbeit zwischen den beiden Parteien Korrekturen vorgenommen, bevor die technischen Informationen weit verbreitet wurden. Solche Koordination höchstwahrscheinlich vermieden massiven schädlichen Gebrauch und gab Manager Zeit, um vorbeugende Maßnahmen zu ergreifen.
Für Organisationen, die auf Dashboards und Cloud-Daten abhängen, sollte diese Episode als Erinnerung dienen, dass der Komfort des Teilens und der Visualisierung von Informationen keine grundlegenden Sicherheitskontrollen opfern sollte. Drehen Sie Anmeldeinformationen nach Änderungen, begrenzen Sie den Zugang zu sensiblen Steckverbindern, überprüfen Sie die Freigaberichtlinien und überwachen ungewöhnliche Konsultationsversuche in Dienstleistungen wie BigQuery sind praktische Schritte, die die Angriffsfläche reduzieren.
Insgesamt ist LeakyLooker ein weiteres Beispiel dafür, wie die Komplexität von Cloud-Plattformen und die Wechselwirkung zwischen Komponenten neue Angriffsvektoren erzeugen können. Die gute Nachricht ist, dass die Probleme nach der Benachrichtigung gepaart wurden, und die technische Veröffentlichung von Tenable bietet Material für Sicherheitsteams zu lernen und ihre Verteidigung zu stärken. Für diejenigen, die die Ergebnisse vertiefen möchten, veröffentlichte Tenable einzelne technische Anmerkungen zu jedem Vektor, einschließlich derjenigen, die sich auf gefilterte Bilder und Links beziehen ( TRA-2025-30), temporäre Orakel ( HAND-2025-31) und spezifische Routen zu BigQuery und Spanner ( TRA-2025-38)
Die Moral für technische und Management-Beamte ist klar: Sicherheit in gemeinsamen Datenumgebungen erfordert ständige Überwachung, regelmäßige Genehmigungsüberprüfungen und eine feste Politik bezüglich der veröffentlichten und geteilten Daten. Halten Sie sich über Lieferanten-Sicherheitshinweise informiert und nutzen Sie Forschungsressourcen - wie die von Tenable - hilft, schnell Lücken zu schließen, bevor sie ausgenutzt werden können.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...