Cybersicherheits-Experten von Tenable haben neun Sicherheitslücken in Google Looker Studio öffentlich gemacht, die es Angreifern erlaubt hätten, über Mandantengrenzen hinweg auf Datenbanken anderer Organisationen zuzugreifen. Die Schwachstellen erhielten die Bezeichnung “LeakyLooker”. Es gibt keine Hinweise auf Missbrauch in der Praxis. Nach verantwortungsvoller Offenlegung im Juni 2025 wurden die Sicherheitsmängel von Google behoben.
“Diese Schwachstellen verletzten grundlegende Designannahmen und hätten Angreifern ermöglicht, Daten in Cloud-Umgebungen zu exfiltrieren, einzufügen und zu löschen”, erklärte Sicherheitsforscher Liv Matan gegenüber The Hacker News.
Die Anfälligkeit betraf potentiell jede Organisation, die Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage oder andere Looker-Studio-Datenquellen nutzt. Durch erfolgreiche Ausnutzung der Cross-Tenant-Lücken hätten Angreifer auf vollständige Datensätze und Projekte verschiedener Cloud-Mandanten zugreifen können.
Auch öffentlich einsehbare Looker-Studio-Berichte wurden zum Ziel. Ein Angreifer hätte diese kopieren und dabei die Authentifizierungsdaten des ursprünglichen Besitzers beibehalten können – beispielsweise bei PostgreSQL-Verbindungen. Dies hätte es ihm erlaubt, Tabellen zu löschen oder zu modifizieren.
Besonders kritisch war ein Angriffsszenario mit One-Click-Datenexfiltration: Durch das Teilen eines manipulierten Berichts hätte die Ausführung bösartiger Code im Browser des Opfers erzwungen werden können. Dieser hätte sich mit einem vom Angreifer kontrollierten Projekt verbunden und ganze Datenbanken aus Protokollen rekonstruiert.
“Die Schwachstellen untergraben das grundlegende Prinzip, dass ein Betrachter niemals die Daten kontrollieren sollte, die er ansieht”, sagte Matan. Sie “hätten es Angreifern ermöglicht, Daten über Google-Dienste wie BigQuery und Google Sheets hinweg zu exfiltrieren oder zu verändern”.