Semua halaman Notion publik mengekspos alamat email semua editor

 (twitter.com/weezerOSINT)
11 poin oleh GN⁺ 2026-04-20 | 3 komentar | Bagikan ke WhatsApp
  • Pada halaman Notion publik, UUID editor terekspos tanpa autentikasi, dan dengan satu permintaan POST, nama, email, dan foto profil dapat diperoleh
  • Pada wiki atau dokumen perusahaan yang dipublikasikan, alamat email karyawan yang mengedit halaman tersebut bisa terlihat apa adanya, dan di halaman Notion Community juga terverifikasi 12 email dari 13 ID pengguna
  • Dalam pengujian, ditemukan karyawan Notion, service account seperti svc-notion-prod@makenotion.com, serta kontraktor eksternal, dan semuanya bisa diakses tanpa cookie, token, atau prosedur autentikasi terpisah
  • getLoginOptions juga bisa dipanggil tanpa autentikasi, sehingga bisa dibedakan apakah tiap akun menggunakan login kata sandi atau SSO
  • Masalah ini belum diperbaiki sejak dilaporkan pada 2022, dan bagi organisasi yang luas menggunakan halaman publik, terdapat risiko besar kebocoran PII

Cara reproduksi dan informasi yang terekspos

  • Di dalam informasi izin halaman publik, API Notion mengembalikan UUID editor, dan proses ini tidak memerlukan autentikasi
  • Dengan menargetkan halaman Notion Community, ditemukan 13 ID pengguna dari izin blok, lalu dikirim ke /api/v3/syncRecordValuesMain untuk memperoleh 12 alamat email
    • Objek yang dikembalikan mencakup karyawan Notion, production service account svc-notion-prod@makenotion.com, dan kontraktor eksternal
    • Semuanya terkonfirmasi hanya dari satu halaman
    Iklan
  • Permintaan dapat dilakukan tanpa cookie, token, atau prosedur autentikasi tambahan

Dampak dan risiko tambahan

  • Halaman Notion digunakan secara luas dalam berbagai bentuk seperti wiki perusahaan, papan lowongan, dokumen publik, dan panduan onboarding
  • Dengan pencarian site: notion.site, dapat ditemukan ribuan halaman publik
  • Untuk setiap halaman publik tersebut, satu panggilan API tanpa autentikasi dapat mengekspos alamat email editor
  • Jika workspace enterprise dengan 500 karyawan membagikan halaman publik, maka 500 alamat email perusahaan bisa diperoleh hanya dengan satu permintaan
  • Tidak ada rate limiting, dan pemrosesan batch 50 orang sekaligus dimungkinkan
  • getLoginOptions juga dapat dipanggil tanpa autentikasi
  • Jika digunakan bersama, dapat dibedakan apakah tiap akun memakai login kata sandi atau SSO
  • Kombinasi ini dapat menjadi daftar target gratis untuk credential stuffing
  • Laporan awal dikirim ke HackerOne pada 28 Juli 2022
  • Setelah itu, masalah ini tetap belum diperbaiki selama hampir 4 tahun
  • Masalah yang sama ditemukan dan dilaporkan kembali secara terpisah, tetapi ditandai sebagai duplikat
  • Hasil pengujian ulang juga menunjukkan endpoint yang sama, tanpa autentikasi, dan pengembalian email tetap ada
  • HackerOne mengklasifikasikan laporan tersebut sebagai informative, dan menurut sumber aslinya tidak ada CVE maupun bug bounty
  • Ini dikategorikan sebagai kondisi paparan PII pelanggan
  • Tim yang menggunakan halaman Notion publik perlu memeriksa pengaturan berbagi

Bacaan terkait

3 komentar

 
cshj55 2026-04-20

Sejak ada Notion AI, rasanya jadi... bahkan tidak jelas lagi ini aplikasi apa.
Ternyata kejadian seperti ini juga pernah ada.
 
devsepnine 2026-04-21

Sejak pindah dari Notion ke Obsidian, saya memang sudah tidak memakainya lagi..
 
GN⁺ 2026-04-20
Komentar Hacker News
  • Saya memastikan bahwa ketika halaman publik Notion dipublikasikan ke web, metadata dapat menyertakan nama, foto profil, dan alamat email pengguna yang berkontribusi, seperti tertulis di pusat bantuan resmi. Yang lebih bermasalah adalah eksposur PII seperti ini seolah disembunyikan seperti catatan kaki
    • Cacat ini sendiri sudah absurd, tetapi sikap yang menerimanya seakan by design terasa lebih tidak masuk akal lagi
    • Sebagai pengguna Notion yang memakai halaman publik, saya merasa ini benar-benar desain yang tidak masuk akal
    • Saya ingat pernah melihat hal serupa juga terjadi pada RSS feed di beberapa CMS
  • Saya Max dari Notion; masalah ini memang terdokumentasi dan ada peringatan saat memublikasikan, tetapi saya rasa itu saja tidak cukup. Saat ini kami sedang meninjau opsi untuk menghapus data pribadi dari endpoint publik atau menggantinya dengan proxy email seperti commit publik GitHub. Dan, tidak seperti kelihatannya, ini bukan perbaikan yang bisa selesai dalam 1 menit
    • Meski begitu, fakta bahwa isu ini sudah ada selama 4 tahun terasa terlalu lama
    • Saya penasaran peringatan seperti apa yang benar-benar ditampilkan. Saat saya membuat halaman publik sebulan lalu, saya membacanya hanya sebagai bahwa isi halaman akan dipublikasikan, sama sekali tidak terasa bahwa email editor juga akan terekspos
    • Tetap saja, bukankah Notion sebenarnya sudah punya waktu lebih dari 1 menit?
    • Mumpung Anda ada di sini, saya juga ingin bertanya kenapa Notion di Firefox terasa sangat lambat
    • Karena ini sudah dilaporkan pada 2022 dan secara sifat tampak jelas sebagai kesalahan, menurut saya mengharapkan ini sudah diperbaiki sekarang bukanlah reaksi berlebihan
  • Saya sempat lama tidak memakai Notion lalu melihatnya lagi, dan layanan yang dulu sempat ingin saya rekomendasikan sebagai contoh hypertext kini memakai slogan seperti AI workplace atau AI everything app, jadi rasanya identitasnya benar-benar berubah. Saya sampai bertanya-tanya apa yang sebenarnya terjadi
    • Saya juga sudah beberapa tahun tidak memakainya, tetapi setiap kali di berbagai perusahaan ada seseorang yang sangat mendorong Notion dan mengupayakan perpindahan tim, saya justru sering melihat kecepatan kerja turun drastis. Bahkan sempat ada candaan bahwa mengirim orang ke perusahaan pesaing untuk mengadopsi Notion bisa jadi aksi sabotase. Kesan saya, kurva belajarnya lebih panjang dari perkiraan, dan meski menghemat waktu bagi segelintir pendorong—biasanya PM atau pihak operasional—bagi kebanyakan orang justru memaksakan pengelolaan yang berpusat pada keterbacaan. Karena pekerjaan yang berantakan tapi mencerminkan kenyataan dipaksa masuk ke tabel rapi dan tampilan terstruktur, hasilnya memang enak dilihat tetapi status yang tidak akurat terasa menyebar ke seluruh organisasi
    • Notion memang sudah beberapa tahun memosisikan diri sebagai aplikasi terpadu untuk kerja, dan jika produknya menggabungkan manajemen proyek serta dokumentasi, masuknya AI juga terasa sebagai alur yang wajar
    • Menurut saya, bukan berarti Notion “baru sekarang” kehilangan makna; dari awal memang ini adalah aplikasi yang ingin melakukan segalanya, dan akibatnya menjadi alat yang berantakan dan tidak efisien. Penambahan AI juga terasa hanya kelanjutan dari itu
    • Saya penasaran apa tepatnya maksud dari ungkapan contoh hypertext yang disebut di sini
    • Saya cukup terbiasa dengan Unix, jadi justru memuaskan bahwa saya tidak perlu memakai perangkat lunak seperti ini dalam kehidupan sehari-hari
  • Saya ingat masalah ini sudah ada setidaknya lebih dari 5 tahun. Dulu bahkan pernah ada orang yang melihat halaman Notion saya lalu berhasil membongkar anonimitas saya
    • Jadi sekarang, kalau mau menjaga privasi, apakah kita benar-benar harus sampai memisahkan akun dan mengelola jejak digital pada level OPSEC?
  • Momennya terasa aneh. Saya baru saja meminta Claude membandingkan Notion vs Obsidian, lalu pindah ke HN dan langsung melihat postingan ini, jadi lumayan senang
    • Terima kasih untuk semua rekomendasinya, sangat membantu. Kebutuhan saya bukan grafik pengetahuan pribadi, melainkan pekerjaan membangun ADU, jadi saya butuh cakupan luas seperti manajemen tugas, papan inspirasi, tabel biaya, daftar pesanan, sampai dokumentasi. Dalam hal itu, Notion masih tampak cukup kuat, sedangkan alat seperti Logseq, Obsidian, Joplin, Trilium, dan Craft tampak bagus di area masing-masing tetapi agak kurang untuk kebutuhan saya. Anynote terlihat lumayan, tetapi tidak punya klien web, dan Milanote tampaknya lebih cocok jika porsi papan inspirasi lebih besar. Jadi, kalau bukan karena isu kali ini, saya masih merasa Notion adalah opsi yang menarik
    • Untuk repositori pengetahuan pribadi, saya ingin bilang sebaiknya jauhi layanan yang proprietari. Saya suka Logseq, tetapi juga mulai khawatir itu tampak seperti abandonware
    • Proyek saya, hyperclast, juga mungkin layak dilihat. Saya juga sudah merapikan halaman perbandingan dengan Notion, Obsidian, dll.
    • Saya memakai Outline dengan self-hosting. Mungkin fitur AI terbarunya tidak sebanyak itu, tetapi saya merasa hampir semua yang dibutuhkan sebagai alternatif Notion sudah ada
    • Saya pindah dari Obsidian ke Joplin beberapa tahun lalu, dan saya puas karena ini sepenuhnya FOSS serta bisa sinkron dengan instance Nextcloud pribadi saya
  • Saya rasa perusahaan besar harus menangani keamanan dan privasi pengguna maupun karyawan dengan jauh lebih serius
    • Mungkin dewan direksi dan pemegang saham perusahaan besar juga tidak boleh bisa bersembunyi di balik struktur hukum, dan harus menanggung tanggung jawab finansial atas masalah seperti ini
    • Menurut saya perusahaan hanya bergerak jika ada alasan. Pada akhirnya pengguna harus lebih peduli pada privasi mereka sendiri dan, bila perlu, mau mengganti produk. Hanya dengan mengkritik, pendapatan tidak akan terguncang, jadi dari sudut pandang perusahaan tidak banyak yang berubah
    • Ke depan, sepertinya firma konsultasi akan mempromosikan berapa banyak perbaikan kerentanan yang bisa dilakukan per sejuta token, dan tim engineering akan mendapat tekanan untuk menggabungkan kode hasil generatif. Layanan review PR keamanan dan audit codebase yang memakai banyak token seperti Dependabot atau SonarQube juga tampaknya akan makin banyak, dan bidang ini terlihat seperti pasar yang bagus untuk tim kecil membangun ARR dengan cepat
    • Pada akhirnya, untuk benar-benar mencegah masalah seperti ini, para pemilih harus memilih politisi dan regulasi yang benar-benar menghukum perusahaan secara nyata
    • Secara realistis, saya rasa perusahaan hanya melihat profit. Motivasinya tampak jauh lebih kuat untuk menghasilkan uang secepat mungkin, exit, lalu lanjut ke venture berikutnya
  • Saya pernah memikirkan arsitektur di mana server hampir tidak menyimpan data pengguna, dan tiap pengguna memegang datanya sendiri lalu hanya materialize on-demand saat diperlukan. Kebocoran akibat kesalahan manusia sulit dihindari, jadi solusi paling mendasar terasa adalah menyimpan lebih sedikit sejak awal. Namun ada banyak tantangan seperti biaya penggabungan data grup, masalah agregasi karena pengguna offline, pencegahan scraping klien, dan kontrol atas perubahan data yang tidak diizinkan. Misalnya, saya pernah membayangkan model dengan sqlite per pengguna HN dan server mengambil postingan dari masing-masing, tetapi jika satu orang saja tidak tersedia maka hasilnya bisa hilang, jadi tingkat kesulitan praktisnya tampak tinggi
    • Saya juga suka ide itu, tetapi pada akhirnya mudah kembali ke bentuk yang mirip sistem sekarang. Pengguna memakai banyak perangkat, jadi akhirnya tetap butuh layanan sinkronisasi, dan ketika kompleksitasnya membesar, semuanya cenderung kembali diserahkan ke pihak ketiga, lalu kita kembali ke dunia login dan pengelolaan data ala FB, Google, dan Apple
  • Saya sangat banyak memakai Notion dan pernah membuat beberapa integrasi; secara keseluruhan ini aplikasi yang bagus, pemanfaatan AI-nya juga lumayan, dan terus membaik. Saya benar-benar berharap masalah ini diperbaiki, dan saya senang API-nya belakangan banyak membaik sehingga database views kini didukung sebagai objek kelas satu. Masih ada beberapa hal kecil lagi yang saya harapkan dari API publik
  • Postingannya cuma beberapa kalimat pendek, jadi saya sampai bertanya apakah hal seperti itu pun perlu ditulis dengan LLM
  • Aplikasi macOS Notion adalah salah satu perangkat lunak terburuk yang pernah saya pakai. Rasanya seperti mengabaikan hampir semua konvensi desain platform
    • Saya berharap budaya aplikasi web wrapper seperti ini cepat hilang. Terlalu banyak layanan yang merusak pengalaman pengguna dengan cara ini
    • Baru sekitar satu jam setelah dipasang, service worker-nya sudah memakai 7GB disk, dan saya kaget. Saya hampir tidak mengunggah file apa pun, jadi saya tidak tahu apa yang sebenarnya di-cache sebanyak itu
    • Pada akhirnya, fakta bahwa ini Electron rasanya sudah menjelaskan semuanya
    • Sebenarnya ini bukan aplikasi macOS sungguhan, melainkan lebih mirip bungkusan aplikasi web