Descoberta e Escopo
Pesquisadores de segurança cibernética divulgaram nove vulnerabilidades de cross-tenant no Google Looker Studio que poderiam ter permitido que atacantes executassem consultas SQL arbitrárias nos bancos de dados das vítimas e exfiltrassem dados sensíveis dentro dos ambientes Google Cloud das organizações.
As falhas foram coletivamente nomeadas LeakyLooker pela Tenable. Até o momento, não há evidências de que as vulnerabilidades tenham sido exploradas em ataques reais, mas o potencial de impacto é significativo para empresas que utilizam a plataforma de visualização de dados da Google.
Impacto e Alcance
As vulnerabilidades de cross-tenant representam um risco crítico de isolamento de dados. Em um cenário de exploração, um usuário de uma organização poderia acessar e manipular dados de outra organização dentro do mesmo ambiente de nuvem, violando a segregação de dados que é fundamental para a segurança em nuvem.
A capacidade de executar consultas SQL arbitrárias abre portas para vazamento massivo de informações confidenciais, incluindo relatórios financeiros, dados de clientes e métricas operacionais armazenadas nos dashboards do Looker Studio.
Repercussão e Mitigação
A divulgação dessas falhas destaca a importância de auditorias contínuas em ferramentas de BI e visualização de dados, especialmente quando integradas a ambientes de nuvem compartilhados. A Google foi notificada sobre as vulnerabilidades e espera-se que correções sejam implementadas para restaurar o isolamento entre inquilinos.
Organizações que utilizam o Google Looker Studio devem monitorar atualizações de segurança da plataforma e revisar suas configurações de acesso e permissões de tenant para garantir que não haja exposição indevida de dados sensíveis.