A SADA Systems biztonsági cég munkatársai találták meg azt a komoly sérülékenységet a Google Cloud Platform kódjában, amely potenciálisan lehetővé tette a rosszindulatú támadók számára, hogy megszerezzék a Google Cloud Service Account-ok titkos kulcsait.
A cég munkatársai által kiadott közleményben azt írták, a biztonsági rés " megbízható módszert adott volna a támadók kezébe, ahhoz, hogy visszaéljenek a Google Cloud környezetével". A SADA illetékesei a Google-t is tájékoztatták a problémáról, a Bug Hunters programon keresztül, amely lehetővé teszi, hogy a hibákat feltáró szakemberek pénzt kapjanak a bejelentésért cserébe.
A biztonsági rést a Google Cloud Platformjának API-jában, az úgynevezett Cloud Asset Inventory API-ban találták meg. A sérülékenység minden felhasználót érintett, akik használták az API-t, illetve alkalmazták a cloudasset.assets.searchAllResources nevű engedélyt a cég felhőplatformján. A hibát a külső forrásból származó biztonsági eszközök, például a Cloud Security Posture Management (CSPM) eszköznél használt engedély gyenge biztonsági megoldásai okozták.
A Google szakembereinek sikerült reprodukálni a hibát, amelyhez azóta elkészítették a javítást, azonban a SADA arra figyelmeztet, hogy azok a felhasználók, akikkel szemben kihasználták a biztonsági rést, továbbra is veszélyben lehetnek. A cég közleményében azért elismerte a Google munkáját, akik gyorsan és profin hárították el a problémát.
