LeakyLooker w Google Looker Studio: luki mogły umożliwiać ataki cross-tenant i złośliwe zapytania SQL - Security Bez Tabu

LeakyLooker w Google Looker Studio: luki mogły umożliwiać ataki cross-tenant i złośliwe zapytania SQL

Cybersecurity news

Wprowadzenie do problemu / definicja

Google Looker Studio to chmurowa platforma analityczna wykorzystywana do tworzenia raportów, dashboardów i wizualizacji na podstawie danych pochodzących z różnych źródeł, w tym hurtowni danych, arkuszy oraz zewnętrznych baz SQL. Ujawniony zestaw podatności nazwany LeakyLooker pokazuje jednak, że rozbudowany model konektorów i mechanizmy współdzielenia raportów mogą stać się istotnym elementem powierzchni ataku.

Według opublikowanych ustaleń problem obejmował dziewięć luk, które mogły naruszać granice zaufania między właścicielem raportu, jego odbiorcą a warstwą danych. W praktyce oznaczało to ryzyko wykonywania nieautoryzowanych zapytań, wycieku informacji między tenantami oraz nadużyć związanych z zapisanymi poświadczeniami.

W skrócie

  • Badacze opisali dziewięć podatności określonych zbiorczo jako LeakyLooker.
  • Luki miały umożliwiać ataki cross-tenant w Google Looker Studio.
  • Potencjalny wpływ obejmował wykonywanie złośliwych zapytań SQL, eksfiltrację danych oraz modyfikację lub usuwanie rekordów.
  • Ryzyko dotyczyło m.in. BigQuery, Spanner, PostgreSQL, MySQL, Google Sheets i Cloud Storage.
  • Poprawki wdrożono po stronie usługi zarządzanej, bez konieczności działań po stronie klientów.

Kontekst / historia

Looker Studio, wcześniej znane jako Data Studio, jest szeroko używane do wewnętrznego i publicznego udostępniania raportów. Taki model pracy upraszcza analizę biznesową, ale jednocześnie uzależnia bezpieczeństwo od sposobu pobierania danych oraz od tego, czy raport korzysta z poświadczeń właściciela, czy użytkownika przeglądającego.

To właśnie elastyczność w modelu dostępu miała odegrać kluczową rolę w opisywanych scenariuszach. Badacze wskazali dwa główne warianty nadużyć: scenariusze zero-click, w których operacje mogły być wykonywane z użyciem uprawnień właściciela raportu, oraz scenariusze one-click, gdzie ofiara po otwarciu spreparowanego raportu lub odnośnika mogła nieświadomie uruchomić złośliwe działania.

Incydent ten dobrze wpisuje się w szerszy trend bezpieczeństwa chmury. Współczesne platformy BI nie są już wyłącznie warstwą prezentacyjną, lecz pośredniczą między użytkownikiem a systemami przechowującymi dane, przez co błąd logiczny w aplikacji raportowej może przełożyć się na realny incydent w warstwie danych.

Analiza techniczna

LeakyLooker nie odnosi się do jednej, klasycznej podatności, lecz do kombinacji błędów projektowych i implementacyjnych. Wśród opisanych wektorów znalazły się podatności typu SQL injection w konektorach bazodanowych, mechanizmy wycieku danych poprzez elementy raportu, takie jak hiperłącza i obrazy, a także scenariusze generowania niepożądanych kosztów zapytań, określane jako denial-of-wallet.

Szczególnie groźny był wariant, w którym raport wykonywał operacje z użyciem poświadczeń właściciela. Jeżeli atakujący był w stanie doprowadzić do wygenerowania odpowiednio spreparowanego żądania po stronie usługi, mógł potencjalnie wymusić wykonanie zapytań SQL w imieniu właściciela raportu. Taki model ryzyka jest wyjątkowo niebezpieczny, ponieważ odrywa skutki ataku od bezpośredniej interakcji użytkownika końcowego.

Drugi obszar dotyczył scenariuszy opartych na poświadczeniach widza. W wariantach one-click ofiara mogła otworzyć zmanipulowany raport, który inicjował złośliwe zapytania albo prowadził do wycieku danych przez kontrolowane kanały boczne. Opisano również problem związany z kopiowaniem raportów, gdzie kopia mogła w określonych warunkach zachowywać zapisane dane uwierzytelniające źródła, co dawało nowemu właścicielowi możliwość wykonywania własnych zapytań z wykorzystaniem autoryzacji pierwotnego autora.

Z perspektywy architektury bezpieczeństwa oznacza to naruszenie podstawowej zasady separacji ról. Odbiorca raportu nie powinien zyskiwać zdolności wpływania na warstwę danych jedynie poprzez interakcję z dashboardem, jednak złożoność konektorów, modeli uwierzytelniania i mechanizmów kopiowania raportów może prowadzić do eskalacji logicznych błędów do poziomu pełnoprawnych ataków cross-tenant.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem był potencjalny dostęp do danych poza własnym tenantem. W środowiskach chmurowych taki scenariusz należy do najgroźniejszych, ponieważ narusza podstawowe założenie izolacji między klientami usługi. Publicznie dostępne raporty mogły w takim modelu stać się punktem wejścia do dalszej eksfiltracji informacji z zaplecza analitycznego.

Ryzyko nie ograniczało się do poufności. W zależności od konfiguracji źródła danych możliwa mogła być także modyfikacja rekordów, dopisywanie danych, a nawet usuwanie tabel. Dodatkowo w usługach rozliczanych za zapytania, takich jak BigQuery, atak mógł prowadzić do wymuszania kosztownych operacji, generując realne straty finansowe bez konieczności klasycznego wycieku informacji.

Istotnym wyzwaniem pozostaje także detekcja. Aktywność inicjowana przez legalną platformę BI może wyglądać wiarygodnie w logach i nie przypominać tradycyjnego ruchu atakującego. To utrudnia korelację incydentów oraz może opóźnić wykrycie nadużycia w środowiskach, gdzie raporty są szeroko udostępniane użytkownikom wewnętrznym lub publicznie.

Rekomendacje

Organizacje powinny traktować platformy BI jako element krytycznej powierzchni ataku. Pierwszym krokiem powinien być przegląd sposobu udostępniania raportów, zwłaszcza tych publicznych lub półpublicznych, a także weryfikacja, które dashboardy korzystają z poświadczeń właściciela do pobierania danych.

Warto również ograniczyć liczbę aktywnych konektorów wyłącznie do tych, które są rzeczywiście potrzebne. Każdy dodatkowy konektor zwiększa złożoność modelu zaufania i może wnosić własne ryzyka związane z parserami zapytań, transformacją danych i logiką autoryzacji.

  • Przeprowadzić audyt raportów współdzielonych publicznie i szeroko wewnętrznie.
  • Zweryfikować, które źródła danych używają zapisanych poświadczeń.
  • Ograniczyć kopiowanie i klonowanie raportów tam, gdzie nie jest to konieczne.
  • Monitorować nietypowe zapytania do BigQuery i innych baz pod kątem kosztu, wolumenu i anomalii semantycznych.
  • Stosować zasadę najmniejszych uprawnień dla źródeł danych i konektorów.
  • Regularnie analizować logi platform BI, konektorów i warstwy bazodanowej.
  • Uwzględniać testy nadużyć logicznych w procesach bezpieczeństwa, a nie tylko klasyczne testy podatności.

W środowiskach enterprise dobrym podejściem jest także oddzielenie danych wysokiego ryzyka od raportów przeznaczonych do szerokiego udostępniania. Warto również wdrożyć dodatkowe mechanizmy wykrywania zapytań odbiegających od typowego profilu konkretnego dashboardu.

Podsumowanie

LeakyLooker pokazuje, że nowoczesne narzędzia analityczne mogą stać się atrakcyjnym wektorem ataku na środowiska chmurowe. Ujawnione luki miały charakter logiczny i architektoniczny, a ich potencjalny wpływ wykraczał daleko poza sam interfejs raportowy, obejmując poufność, integralność i koszty przetwarzania danych.

Dla zespołów bezpieczeństwa to ważny sygnał, że analiza ryzyka dla platform BI, dashboardów i konektorów danych powinna być integralnym elementem strategii ochrony środowisk chmurowych. Nawet jeśli poprawki zostały wdrożone po stronie dostawcy, przypadek ten przypomina, że zaufanie do warstwy analitycznej musi być stale weryfikowane.

Źródła

  1. Researchers Uncover ‘LeakyLooker’ Vulnerabilities in Google Looker Studio — https://www.infosecurity-magazine.com/news/google-looker-studios-security-gaps/
  2. New „LeakyLooker” Flaws in Google Looker Studio Could Enable Cross-Tenant SQL Queries — https://thehackernews.com/2026/03/new-leakylooker-flaws-in-google-looker.html