- Tenable descobre nove bugs do Looker Studio chamados LeakyLooker
- As falhas permitiram injeção de SQL entre locatários e vazamentos de credenciais
- O Google corrigiu todas as vulnerabilidades; os usuários foram solicitados a revisar o acesso ao relatório
Uma série de nove vulnerabilidades no Google Looker Studio pode ser usada para executar consultas SQL arbitrárias em bancos de dados de destino e extrair dados confidenciais dos ambientes Google Cloud das pessoas, revelaram especialistas.
Os pesquisadores da Tenable Security descobriram falhas, chamadas LeakyLooker, que expunham dados confidenciais em ambientes Google Cloud, afetando qualquer conector de dados no Looker Studio, incluindo Google Sheets, PostgreSQL, MySQL e outros.
“Alcançar o isolamento completo ao entregar dados ao vivo é uma tarefa difícil e propensa a erros”, disse Tenable sobre suas descobertas, acrescentando que a arquitetura “Live Data” da ferramenta, projetada para atualizações de relatórios em tempo real, foi um verdadeiro calcanhar de Aquiles. “Os invasores podem explorar vulnerabilidades de 0 clique (sem interação da vítima) e 1 clique (a vítima abre um site malicioso controlado pelo invasor).”
O artigo continua abaixo
Problemas do Looker Studio
Looker Studio é uma ferramenta gratuita de visualização de dados e relatórios do Google que permite que as pessoas transformem dados brutos em painéis e relatórios interativos. Também é bastante popular, com a extensa família de produtos Looker tendo mais de 10 milhões de usuários mensais.
Aqui está uma breve visão geral dos bugs encontrados pela Tenable:
- Acesso não autorizado de locatário indireto – Injeção de SQL com clique zero em conectores de banco de dados – TRA-2025-28
- Acesso não autorizado entre locatários – Injeção de SQL com clique zero por meio de credenciais armazenadas – TRA-2025-29
- Injeção de SQL entre locatários no BigQuery por meio de funções nativas – TRA-2025-27
- As fontes de dados entre locatários são filtradas com hiperlinks – TRA-2025-40
- Injeção de SQL entre locatários no Spanner e BigQuery por meio de consultas personalizadas na fonte de dados da vítima – TRA-2025-38
- Injeção de SQL entre locatários por meio da API de vinculação do BigQuery e do Spanner – TRA-2025-37
- As fontes de dados entre locatários são filtradas com renderização de imagem – TRA-2025-30
- Vazamento Cross Tenant XS com contagem de quadros e oráculos de tempo em fontes de dados arbitrárias – TRA-2025-31
- Negação entre locatários da carteira via BigQuery – TRA-2025-41
A mais preocupante das vulnerabilidades foi a falha lógica “Sticky Credential” na função “Copy Report”, que poderia ter sido usada por invasores não autorizados para clonar relatórios, mantendo as credenciais do proprietário original.
Desde então, o Google corrigiu todos os nove bugs globalmente, e a Tenable aconselha os usuários a revisar regularmente quem tem acesso “Visualizar” aos relatórios públicos e privados.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
