![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ich kippe noch eine neue Sicherheitsmeldung zu Google Looker Studio hier im Blog ein. Tenable Research hat erneut gleich neun Sicherheitsl\u00fccken in Google Looker Studio aufgedeckt. Die unter \"LeakyLooker\" zusammengefassten Schwachstellen erm\u00f6glichten Angreifern, beliebige SQL-Abfragen in den Datenbanken von Betroffenen auszuf\u00fchren und vertrauliche Unternehmensdaten aus Google Cloud-Umgebungen abzuziehen.<\/p>\n
<\/p>\n
Google Looker Studio ist, laut\u00a0Wikipedia<\/a>, eine Software zur Verwaltung und Visualisierung von Massendaten. Im Gegensatz zu Google Analytics k\u00f6nnen hier benutzerdefinierte und interaktive Berichte und Dashboards erstellt werden. Die Software richtet sich mit einer einfacheren Bedienung an unerfahrenere Anwender und l\u00e4sst sich als Webanwendung \u00fcber den Webbrowser aufrufen.<\/p>\n Anwendung findet das Tool haupts\u00e4chlich im Bereich Suchmaschinenmarketing, Suchmaschinenoptimierung und E-Commerce. Die Google-L\u00f6sung kommt in mehr als 60.000 Unternehmen in 195 L\u00e4ndern zum Einsatz. Im Hinblick auf \"da war doch was\" habe ich im Blog nachgeschaut. Bereits Anfang Februar 2026 hatte ich im Beitrag Schwerwiegende Schwachstellen in Google Looker aufgedeckt<\/a> auf massive Sicherheitsprobleme in der L\u00f6sung hingewiesen.<\/p>\n Im Rahmen der \"LeakyLooker\"-Analyse wurden von Tenable Research neun bislang unbekannte mandanten\u00fcbergreifende Sicherheitsl\u00fccken entdeckt. Durch diese Sicherheitsl\u00fccken konnten sensible Daten innerhalb von Google Cloud-Umgebungen offengelegt werden. Betroffen sein konnte grunds\u00e4tzlich jedes Unternehmen, das Google Sheets<\/a>, BigQuery<\/a>, Spanner<\/a>, PostgreSQL<\/a>, MySQL<\/a>, Cloud Storage<\/a> oder nahezu jeden anderen Datenkonnektor von Looker Studio verwendet.<\/p>\n Looker Studio ist als hochflexible Plattform konzipiert, die Live-Daten bereitstellt und die Anbindung nahezu beliebiger Datenquellen unterst\u00fctzt. Die vollst\u00e4ndige Isolierung von Mandanten bei gleichzeitiger Bereitstellung von Live-Daten ist eine anspruchsvolle Aufgabe, die fehleranf\u00e4llig sein kann. Tenable-Forscher zeigten, dass die f\u00fcr Echtzeit-Berichtsaktualisierungen entwickelte \"Live Data\"-Architektur von Looker Studio eine strukturelle Schwachstelle aufwies. Angreifer konnten dies \u00fcber sogenannte 0-Click-Schwachstellen (keine Interaktion durch das Opfer erforderlich) sowie 1-Click-Schwachstellen (das Opfer \u00f6ffnet eine vom Angreifer kontrollierte b\u00f6sartige Website) ausnutzen.<\/p>\n Besonders gravierend war ein Logikfehler (\"Sticky Credential\") in der Funktion \"Bericht kopieren\". Dieser erm\u00f6glichte es nicht autorisierten Nutzern, Berichte zu klonen und dabei die Zugangsdaten des urspr\u00fcnglichen Eigent\u00fcmers beizubehalten, wodurch Tabellen gel\u00f6scht oder ver\u00e4ndert werden konnten. Ein weiterer besonders folgenreicher Angriffsweg betraf die 1-Click-Datenexfiltration: Durch das Teilen eines speziell pr\u00e4parierten Berichts wurde der Browser des Opfers dazu gebracht, sch\u00e4dlichen Code auszuf\u00fchren. Dieser \u201epingte\" ein vom Angreifer kontrolliertes Projekt an, um anhand von Protokolldaten ganze Datenbanken zu rekonstruieren.<\/p>\n \"Die Sicherheitsl\u00fccken widerlegten die Annahme, dass eine \u201aViewer'-Rolle keinen Einfluss auf die zugrunde liegenden Daten nehmen kann\", erkl\u00e4rte Liv Matan, Senior Research Engineer bei Tenable. \u201eDie Entdeckung von \u201aLeakyLooker' offenbarte eine neue Angriffsfl\u00e4che in Cloud-Architekturen.\"<\/p>\n Nach der verantwortungsvollen Offenlegung durch Tenable hat Google alle neun Schwachstellen weltweit behoben. Um vergleichbare Risiken k\u00fcnftig zu vermeiden, sollten Unternehmen regelm\u00e4\u00dfig pr\u00fcfen, wer Zugriff mit \u201eView\"-Berechtigungen auf \u00f6ffentliche und private Berichte hat, BI-Konnektoren als kritische Einstiegspunkte in die Cloud-Infrastruktur behandeln und Looker Studio den Zugriff auf Datenkonnektoren oder Dienste entziehen, die nicht mehr aktiv genutzt werden.<\/p>\n Liste der neun Schwachstellen:<\/strong><\/p>\n Der ausf\u00fchrliche Blog-Beitrag LeakyLooker: Hacking Google Cloud's Data via Dangerous Looker Studio Vulnerabilities<\/a> mit vielen Details ist Mitte M\u00e4rz 2026 im Tenable-Blog erschienen.<\/p>\n","protected":false},"excerpt":{"rendered":" Ich kippe noch eine neue Sicherheitsmeldung zu Google Looker Studio hier im Blog ein. Tenable Research hat erneut gleich neun Sicherheitsl\u00fccken in Google Looker Studio aufgedeckt. Die unter \"LeakyLooker\" zusammengefassten Schwachstellen erm\u00f6glichten Angreifern, beliebige SQL-Abfragen in den Datenbanken von Betroffenen … Weiterlesen LeakyLocker: Neun neue Schwachstellen<\/h2>\n
\n