Investigadores de seguridad han identificado un conjunto de vulnerabilidades en Google Looker Studio que podrían permitir a atacantes acceder a datos sensibles y ejecutar consultas SQL arbitrarias en entornos conectados a servicios de Google Cloud.
El conjunto de fallos ha sido denominado “LeakyLooker” y afecta a la forma en que la plataforma gestiona conexiones con múltiples fuentes de datos externas. Looker Studio es una herramienta de inteligencia de negocio basada en la nube utilizada para crear paneles interactivos y reportes analíticos en tiempo real.
Detalles técnicos
La investigación identificó nueve vulnerabilidades de tipo cross-tenant que, combinadas, podrían permitir a un atacante:
- Ejecutar consultas SQL arbitrarias.
- Exfiltrar información sensible de las fuentes de datos conectadas.
- Modificar o eliminar registros en entornos de Google Cloud.
- Acceder a datos sin que el usuario otorgue permisos explícitos.
Looker Studio permite conectar informes con múltiples servicios de datos en tiempo real, entre ellos:
- Google BigQuery
- Google Sheets
- Cloud Spanner
- PostgreSQL
- MySQL
- Google Cloud Storage
La arquitectura de conexiones en tiempo real amplía la superficie de ataque cuando existen errores en el aislamiento entre usuarios o entornos.
CVE relacionados
Algunas vulnerabilidades relacionadas con esta investigación han sido registradas en bases públicas de vulnerabilidades:
- CVE-2025-12397 – Vulnerabilidad de inyección SQL que podría permitir ejecutar consultas maliciosas utilizando los permisos del propietario del informe.
- CVE-2025-12405 – Problema en la gestión de privilegios que permitiría ejecutar consultas contra bases de datos mediante credenciales almacenadas.
- CVE-2025-12743 – Vulnerabilidad que podría permitir la exfiltración de la base de datos interna del sistema.
No todas las fallas identificadas en la investigación LeakyLooker cuentan todavía con identificadores CVE públicos individuales.
Impacto potencial
En entornos corporativos el impacto podría incluir:
- Acceso no autorizado a información empresarial sensible.
- Exfiltración de datos desde bases de datos conectadas.
- Manipulación o eliminación de registros analíticos.
- Alteración de informes utilizados para la toma de decisiones.
Recomendaciones
Se recomienda a las organizaciones que utilicen Looker Studio:
- Revisar los permisos de acceso y compartición de informes.
- Limitar las fuentes de datos conectadas únicamente a las necesarias.
- Monitorizar consultas SQL y actividad anómala en bases de datos conectadas.
- Revisar las configuraciones de seguridad en Google Cloud.
- Mantener las integraciones y conectores actualizados.
Google ha aplicado correcciones en el servicio tras la divulgación responsable de los investigadores, aunque se recomienda a las organizaciones revisar sus configuraciones y accesos para evitar exposiciones innecesarias de información.
