- يكشف Tenable عن تسعة عيوب في Looker Studio يطلق عليها اسم LeakyLooker
- الأخطاء مكنت من حقن SQL بين المستأجرين وتسريب بيانات الاعتماد
- قامت جوجل بتصحيح جميع نقاط الضعف؛ وحث المستخدمين على مراجعة الوصول إلى التقرير
كشف الخبراء عن إمكانية استخدام سلسلة من تسع نقاط ضعف في Google Looker Studio لتشغيل استعلامات SQL عشوائية ضد قواعد البيانات المستهدفة وسحب البيانات الحساسة من بيئات Google Cloud الخاصة بالأشخاص.
وجد الباحثون الأمنيون Tenable العيوب، التي أطلق عليها اسم LeakyLooker، والتي كشفت عن بيانات حساسة عبر بيئات Google Cloud، مما أثر على أولئك الذين يستخدمون تقريبًا أي موصل بيانات Looker Studio، بما في ذلك Google Sheets وPostgreSQL وMySQL وغيرها.
وقال تينابل في النتائج التي توصل إليها: “إن تحقيق العزلة الكاملة مع توفير البيانات المباشرة يعد مهمة صعبة يمكن أن تكون معيبة”، مضيفًا أن بنية “البيانات المباشرة” للأداة، المصممة لتحديثات التقارير في الوقت الفعلي، كانت بمثابة نقطة ضعف حقيقية. “يمكن للمهاجمين استغلال ذلك من خلال نقاط الضعف بنقرة 0 (بدون تفاعل الضحية) وبنقرة واحدة (يفتح الضحية موقع ويب ضارًا يتحكم فيه المهاجم).”
يستمر المقال أدناه
قضايا ستوديو المشاهد
Looker Studio عبارة عن أداة مجانية لتصور البيانات وإعداد التقارير من Google تتيح للأشخاص تحويل البيانات الأولية إلى لوحات معلومات وتقارير تفاعلية. إنها تحظى بشعبية كبيرة أيضًا، حيث تضم عائلة منتجات Looker الأوسع أكثر من 10 ملايين مستخدم شهريًا.
فيما يلي نظرة عامة مختصرة على الأخطاء التي تم اكتشافها بواسطة Tenable:
- الوصول غير المصرح به للمستأجر المتقاطع – حقن SQL بدون نقرة على موصلات قاعدة البيانات – TRA-2025-28
- الوصول غير المصرح به للمستأجر المتبادل – إدخال SQL بدون نقرة من خلال بيانات الاعتماد المخزنة – TRA-2025-29
- حقن SQL للمستأجر المتقاطع في BigQuery من خلال الوظائف الأصلية – TRA-2025-27
- تسرب مصادر بيانات المستأجرين مع الارتباطات التشعبية – TRA-2025-40
- حقن SQL للمستأجر المتقاطع على Spanner وBigQuery من خلال الاستعلامات المخصصة على مصدر بيانات الضحية – TRA-2025-38
- حقن SQL للمستأجر المتقاطع على BigQuery وSpanner من خلال Linking API – TRA-2025-37
- تسرب مصادر بيانات المستأجرين مع عرض الصور – TRA-2025-30
- تسرب Cross Tenant XS على مصادر البيانات العشوائية مع أوراكل عد الإطارات والتوقيت – TRA-2025-31
- رفض المستأجر المشترك للمحفظة من خلال BigQuery – TRA-2025-41
وكانت أكثر نقاط الضعف إثارة للقلق هي الخلل المنطقي “بيانات الاعتماد الثابتة” في ميزة “نسخ التقرير”، والتي يمكن للمهاجمين غير المصرح لهم استخدامها لاستنساخ التقارير مع الاحتفاظ ببيانات اعتماد المالك الأصلي.
قامت Google منذ ذلك الحين بتصحيح جميع الأخطاء التسعة على مستوى العالم، وتوصي Tenable المستخدمين بمراجعة منتظمة لمن لديه حق الوصول “للعرض” في كل من التقارير العامة والخاصة.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات