Investigadores de seguridade identificaron un conxunto de vulnerabilidades en Google Looker Studio que poderían permitir a atacantes acceder a datos sensibles e executar consultas SQL arbitrarias en contornas conectadas a servizos de Google Cloud.
O conxunto de fallos foi denominado “LeakyLooker” e afecta á forma na que a plataforma xestiona as conexións con múltiples fontes de datos externas. Looker Studio é unha ferramenta de intelixencia de negocio baseada na nube empregada para crear paneis interactivos e informes analíticos en tempo real.
Detalles técnicos
A investigación identificou nove vulnerabilidades de tipo cross-tenant que, combinadas, poderían permitir a un atacante:
- Executar consultas SQL arbitrarias.
- Exfiltrar información sensible das fontes de datos conectadas.
- Modificar ou eliminar rexistros en contornas de Google Cloud.
- Acceder a datos sen que o usuario conceda permisos explícitos.
Looker Studio permite conectar informes con múltiples servizos de datos en tempo real entre eles:
- Google BigQuery
- Google Sheets
- Cloud Spanner
- PostgreSQL
- MySQL
- Google Cloud Storage
Esta arquitectura de conexións en tempo real amplía a superficie de ataque cando existen erros no illamento entre usuarios ou contornas.
CVE relacionados
Algunhas vulnerabilidades relacionadas con esta investigación foron rexistradas en bases públicas de vulnerabilidades:
- CVE-2025-12397 – Vulnerabilidade de inxección SQL que podería permitir executar consultas maliciosas empregando os permisos do propietario do informe.
- CVE-2025-12405 – Problema na xestión de privilexios que podería permitir executar consultas contra bases de datos utilizando credenciais almacenadas.
- CVE-2025-12743 – Vulnerabilidade que podería permitir a exfiltración da base de datos interna do sistema.
Non todas as fallas identificadas na investigación LeakyLooker contan polo momento con identificadores CVE públicos individuais.
Impacto potencial
En contornas corporativas o impacto podería incluír:
- Acceso non autorizado a información empresarial sensible.
- Exfiltración de datos desde bases de datos conectadas.
- Manipulación ou eliminación de rexistros analíticos.
- Alteración de informes empregados para a toma de decisións.
Recomendacións
Recoméndase ás organizacións que utilicen Looker Studio:
- Revisar os permisos de acceso e compartición de informes.
- Limitar as fontes de datos conectadas unicamente ás necesarias.
- Monitorizar consultas SQL e actividade anómala nas bases de datos conectadas.
- Revisar as configuracións de seguridade en Google Cloud.
- Manter actualizados os conectores e integracións.
Google aplicou correccións no servizo tras a divulgación responsable dos investigadores. Aínda así recoméndase ás organizacións revisar as súas configuracións e accesos para evitar exposicións innecesarias de información sensible.
