Turvauurija Justin O’Leary teatas Google’ile Config Connectori õiguste eskaleerimise turvanõrkusest, mille ettevõte algul tunnistas kõrge prioriteediga (P1) ja kõrge raskusastmega (S1) veaks. Google’i turvainsener kiitis 27. märtsil tema leidu sõnadega “Nice catch!” ning lubas, et tooteüksus tegeleb parandusega.
O’Leary sõnul võimaldab ConfigConfusioniks ristitud turvanõrkus Kubernetese nimeruumi kasutajal kasutada ülemääraste õigustega teenusekontot, et mööduda Identity and Access Managementi (IAM) autoriseerimisest ja saada GCP organisatsiooni täielikuks omanikuks (roles/owner) — sealjuures vaid mõne YAML-i reaga ning peaaegu ilma auditijälgi jätmata. Config Connector ei vii läbi autoriseerimiskontrolli.
11 päeva hiljem, 7. aprillil, muutis Google Cloud Vulnerability Reward Programi komisjon otsust ja teatas, et tarkvara “töötab nii, nagu ette nähtud”, mistõttu preemiat ei maksta. Samas jäi vearaport endiselt P1/S1 staatusesse “käimas (vastu võetud)”. Kolm kuud hiljem ei ole Google määranud CVE-d ega väljastanud turvapaika. O’Leary kinnitas, et see on Google’i puhul korduv muster.