LeakyLooker: 9 Schwachstellen in Google Looker Studio

Veröffentlicht am 27. März 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Ich kippe noch eine neue Sicherheitsmeldung zu Google Looker Studio hier im Blog ein. Tenable Research hat erneut gleich neun Sicherheitslücken in Google Looker Studio aufgedeckt. Die unter "LeakyLooker" zusammengefassten Schwachstellen ermöglichten Angreifern, beliebige SQL-Abfragen in den Datenbanken von Betroffenen auszuführen und vertrauliche Unternehmensdaten aus Google Cloud-Umgebungen abzuziehen.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Risiko Google Locker Studio

Google Looker Studio ist, laut Wikipedia, eine Software zur Verwaltung und Visualisierung von Massendaten. Im Gegensatz zu Google Analytics können hier benutzerdefinierte und interaktive Berichte und Dashboards erstellt werden. Die Software richtet sich mit einer einfacheren Bedienung an unerfahrenere Anwender und lässt sich als Webanwendung über den Webbrowser aufrufen.

Anwendung findet das Tool hauptsächlich im Bereich Suchmaschinenmarketing, Suchmaschinenoptimierung und E-Commerce. Die Google-Lösung kommt in mehr als 60.000 Unternehmen in 195 Ländern zum Einsatz. Im Hinblick auf "da war doch was" habe ich im Blog nachgeschaut. Bereits Anfang Februar 2026 hatte ich im Beitrag Schwerwiegende Schwachstellen in Google Looker aufgedeckt auf massive Sicherheitsprobleme in der Lösung hingewiesen.

LeakyLocker: Neun neue Schwachstellen

Im Rahmen der "LeakyLooker"-Analyse wurden von Tenable Research neun bislang unbekannte mandantenübergreifende Sicherheitslücken entdeckt. Durch diese Sicherheitslücken konnten sensible Daten innerhalb von Google Cloud-Umgebungen offengelegt werden. Betroffen sein konnte grundsätzlich jedes Unternehmen, das Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage oder nahezu jeden anderen Datenkonnektor von Looker Studio verwendet.

Looker Studio ist als hochflexible Plattform konzipiert, die Live-Daten bereitstellt und die Anbindung nahezu beliebiger Datenquellen unterstützt. Die vollständige Isolierung von Mandanten bei gleichzeitiger Bereitstellung von Live-Daten ist eine anspruchsvolle Aufgabe, die fehleranfällig sein kann. Tenable-Forscher zeigten, dass die für Echtzeit-Berichtsaktualisierungen entwickelte "Live Data"-Architektur von Looker Studio eine strukturelle Schwachstelle aufwies. Angreifer konnten dies über sogenannte 0-Click-Schwachstellen (keine Interaktion durch das Opfer erforderlich) sowie 1-Click-Schwachstellen (das Opfer öffnet eine vom Angreifer kontrollierte bösartige Website) ausnutzen.

Besonders gravierend war ein Logikfehler ("Sticky Credential") in der Funktion "Bericht kopieren". Dieser ermöglichte es nicht autorisierten Nutzern, Berichte zu klonen und dabei die Zugangsdaten des ursprünglichen Eigentümers beizubehalten, wodurch Tabellen gelöscht oder verändert werden konnten. Ein weiterer besonders folgenreicher Angriffsweg betraf die 1-Click-Datenexfiltration: Durch das Teilen eines speziell präparierten Berichts wurde der Browser des Opfers dazu gebracht, schädlichen Code auszuführen. Dieser „pingte" ein vom Angreifer kontrolliertes Projekt an, um anhand von Protokolldaten ganze Datenbanken zu rekonstruieren.

"Die Sicherheitslücken widerlegten die Annahme, dass eine ‚Viewer'-Rolle keinen Einfluss auf die zugrunde liegenden Daten nehmen kann", erklärte Liv Matan, Senior Research Engineer bei Tenable. „Die Entdeckung von ‚LeakyLooker' offenbarte eine neue Angriffsfläche in Cloud-Architekturen."

Nach der verantwortungsvollen Offenlegung durch Tenable hat Google alle neun Schwachstellen weltweit behoben. Um vergleichbare Risiken künftig zu vermeiden, sollten Unternehmen regelmäßig prüfen, wer Zugriff mit „View"-Berechtigungen auf öffentliche und private Berichte hat, BI-Konnektoren als kritische Einstiegspunkte in die Cloud-Infrastruktur behandeln und Looker Studio den Zugriff auf Datenkonnektoren oder Dienste entziehen, die nicht mehr aktiv genutzt werden.

Liste der neun Schwachstellen:

  1. Mandantenübergreifender unbefugter Zugriff – Zero-Click-SQL-Injection über Datenbank-Konnektoren – TRA-2025-28
  2. Mandantenübergreifender unbefugter Zugriff – Zero-Click-SQL-Injection über gespeicherte Zugangsdaten – TRA-2025-29
  3. Mandantenübergreifende SQL-Injection auf BigQuery über native Funktionen – TRA-2025-27
  4. Mandantenübergreifendes Datenleck über Hyperlinks – TRA-2025-40
  5. Mandantenübergreifende SQL-Injection auf Spanner und BigQuery über benutzerdefinierte Abfragen auf der Datenquelle eines Opfers – TRA-2025-38
  6. Mandantenübergreifende SQL-Injection auf BigQuery und Spanner über die Linking-API – TRA-2025-37
  7. Mandantenübergreifendes Datenleck über Bild-Rendering – TRA-2025-30
  8. Mandantenübergreifendes XS-Leak auf beliebige Datenquellen mittels Frame-Counting- und Timing-Oracles – TRA-2025-31
  9. Mandantenübergreifender „Denial of Wallet" über BigQuery – TRA-2025-41

Der ausführliche Blog-Beitrag LeakyLooker: Hacking Google Cloud's Data via Dangerous Looker Studio Vulnerabilities mit vielen Details ist Mitte März 2026 im Tenable-Blog erschienen.

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.