Semua halaman Notion publik membocorkan alamat email semua editor

 (twitter.com/weezerOSINT)
5 poin oleh GN⁺ 6 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Pada halaman Notion publik, UUID editor terekspos tanpa autentikasi, dan dengan satu permintaan POST dapat mengembalikan nama, email, dan foto profil
  • Pada wiki perusahaan atau dokumen yang dipublikasikan, alamat email karyawan yang mengedit halaman tersebut bisa terlihat apa adanya, dan di halaman Notion Community juga terkonfirmasi 12 email dari 13 ID pengguna
  • Data yang dikembalikan mencakup karyawan Notion, service account seperti svc-notion-prod@makenotion.com, serta kontraktor eksternal, dan dapat diakses tanpa cookie, token, maupun proses autentikasi terpisah
  • getLoginOptions juga bisa dipanggil tanpa autentikasi sehingga memungkinkan pembedaan apakah tiap akun menggunakan login kata sandi atau SSO
  • Masalah ini dirangkum sebagai belum diperbaiki sejak dilaporkan pada 2022, dan organisasi yang luas menggunakan halaman publik menghadapi risiko paparan PII yang besar

Cara reproduksi dan informasi yang terekspos

  • Dalam informasi izin halaman publik, API Notion mengembalikan UUID editor, dan proses ini tidak memerlukan autentikasi
  • Pada halaman Notion Community, ditemukan 13 ID pengguna dari izin blok, lalu ID tersebut dikirim ke /api/v3/syncRecordValuesMain untuk memperoleh 12 alamat email
    • Data yang dikembalikan mencakup karyawan Notion, production service account svc-notion-prod@makenotion.com, dan kontraktor eksternal
    • Semua ini terkonfirmasi hanya dari satu halaman
  • Permintaan dapat dilakukan tanpa cookie, token, atau prosedur autentikasi tambahan

Dampak dan risiko tambahan

  • Disebutkan bahwa halaman Notion digunakan secara luas dalam berbagai bentuk seperti wiki perusahaan, papan lowongan kerja, dokumen publik, dan panduan onboarding
  • Disebutkan bahwa pencarian site: notion.site dapat menemukan ribuan halaman publik
  • Untuk setiap halaman publik tersebut, satu panggilan API tanpa autentikasi dapat menyebabkan alamat email editor terekspos
  • Jika workspace enterprise dengan 500 karyawan membagikan halaman publik, maka satu permintaan dapat memperoleh 500 alamat email perusahaan
  • Juga disebutkan tidak ada rate limiting, dan pemrosesan batch 50 orang sekaligus dimungkinkan
  • getLoginOptions juga dapat dipanggil tanpa autentikasi
  • Jika digabungkan, hal ini memungkinkan pembedaan apakah tiap akun memakai login kata sandi atau SSO
  • Dikritik bahwa kombinasi ini dapat menjadi daftar target gratis untuk credential stuffing
  • Laporan awal diajukan ke HackerOne pada 28 Juli 2022
  • Disebutkan bahwa masalah ini belum diperbaiki selama hampir 4 tahun sejak saat itu
  • Masalah yang sama juga ditemukan lagi dan dilaporkan secara terpisah, namun diproses sebagai duplikat
  • Hasil pengujian ulang menunjukkan endpoint yang sama, tanpa autentikasi, dan pengembalian email tetap berlangsung
  • Di HackerOne, laporan tersebut diklasifikasikan sebagai informative, dan menurut sumber aslinya tidak ada CVE maupun bug bounty
  • Situasi ini dinilai sebagai paparan PII pelanggan
  • Tim yang menggunakan halaman Notion publik berada dalam kondisi perlu memeriksa pengaturan berbagi

Bacaan terkait

1 komentar

 
GN⁺ 6 jam lalu
Komentar Hacker News
  • Saya memastikan bahwa ketika halaman publik Notion dipublikasikan ke web, metadata dapat menyertakan nama, foto profil, dan alamat email pengguna yang berkontribusi, seperti tertulis di pusat bantuan resmi. Yang lebih bermasalah adalah eksposur PII seperti ini seolah disembunyikan seperti catatan kaki
    • Cacat ini sendiri sudah absurd, tetapi sikap yang menerimanya seakan by design terasa lebih tidak masuk akal lagi
    • Sebagai pengguna Notion yang memakai halaman publik, saya merasa ini benar-benar desain yang tidak masuk akal
    • Saya ingat pernah melihat hal serupa juga terjadi pada RSS feed di beberapa CMS
  • Saya Max dari Notion; masalah ini memang terdokumentasi dan ada peringatan saat memublikasikan, tetapi saya rasa itu saja tidak cukup. Saat ini kami sedang meninjau opsi untuk menghapus data pribadi dari endpoint publik atau menggantinya dengan proxy email seperti commit publik GitHub. Dan, tidak seperti kelihatannya, ini bukan perbaikan yang bisa selesai dalam 1 menit
    • Meski begitu, fakta bahwa isu ini sudah ada selama 4 tahun terasa terlalu lama
    • Saya penasaran peringatan seperti apa yang benar-benar ditampilkan. Saat saya membuat halaman publik sebulan lalu, saya membacanya hanya sebagai bahwa isi halaman akan dipublikasikan, sama sekali tidak terasa bahwa email editor juga akan terekspos
    • Tetap saja, bukankah Notion sebenarnya sudah punya waktu lebih dari 1 menit?
    • Mumpung Anda ada di sini, saya juga ingin bertanya kenapa Notion di Firefox terasa sangat lambat
    • Karena ini sudah dilaporkan pada 2022 dan secara sifat tampak jelas sebagai kesalahan, menurut saya mengharapkan ini sudah diperbaiki sekarang bukanlah reaksi berlebihan
  • Saya sempat lama tidak memakai Notion lalu melihatnya lagi, dan layanan yang dulu sempat ingin saya rekomendasikan sebagai contoh hypertext kini memakai slogan seperti AI workplace atau AI everything app, jadi rasanya identitasnya benar-benar berubah. Saya sampai bertanya-tanya apa yang sebenarnya terjadi
    • Saya juga sudah beberapa tahun tidak memakainya, tetapi setiap kali di berbagai perusahaan ada seseorang yang sangat mendorong Notion dan mengupayakan perpindahan tim, saya justru sering melihat kecepatan kerja turun drastis. Bahkan sempat ada candaan bahwa mengirim orang ke perusahaan pesaing untuk mengadopsi Notion bisa jadi aksi sabotase. Kesan saya, kurva belajarnya lebih panjang dari perkiraan, dan meski menghemat waktu bagi segelintir pendorong—biasanya PM atau pihak operasional—bagi kebanyakan orang justru memaksakan pengelolaan yang berpusat pada keterbacaan. Karena pekerjaan yang berantakan tapi mencerminkan kenyataan dipaksa masuk ke tabel rapi dan tampilan terstruktur, hasilnya memang enak dilihat tetapi status yang tidak akurat terasa menyebar ke seluruh organisasi
    • Notion memang sudah beberapa tahun memosisikan diri sebagai aplikasi terpadu untuk kerja, dan jika produknya menggabungkan manajemen proyek serta dokumentasi, masuknya AI juga terasa sebagai alur yang wajar
    • Menurut saya, bukan berarti Notion “baru sekarang” kehilangan makna; dari awal memang ini adalah aplikasi yang ingin melakukan segalanya, dan akibatnya menjadi alat yang berantakan dan tidak efisien. Penambahan AI juga terasa hanya kelanjutan dari itu
    • Saya penasaran apa tepatnya maksud dari ungkapan contoh hypertext yang disebut di sini
    • Saya cukup terbiasa dengan Unix, jadi justru memuaskan bahwa saya tidak perlu memakai perangkat lunak seperti ini dalam kehidupan sehari-hari
  • Saya ingat masalah ini sudah ada setidaknya lebih dari 5 tahun. Dulu bahkan pernah ada orang yang melihat halaman Notion saya lalu berhasil membongkar anonimitas saya
    • Jadi sekarang, kalau mau menjaga privasi, apakah kita benar-benar harus sampai memisahkan akun dan mengelola jejak digital pada level OPSEC?
  • Momennya terasa aneh. Saya baru saja meminta Claude membandingkan Notion vs Obsidian, lalu pindah ke HN dan langsung melihat postingan ini, jadi lumayan senang
    • Terima kasih untuk semua rekomendasinya, sangat membantu. Kebutuhan saya bukan grafik pengetahuan pribadi, melainkan pekerjaan membangun ADU, jadi saya butuh cakupan luas seperti manajemen tugas, papan inspirasi, tabel biaya, daftar pesanan, sampai dokumentasi. Dalam hal itu, Notion masih tampak cukup kuat, sedangkan alat seperti Logseq, Obsidian, Joplin, Trilium, dan Craft tampak bagus di area masing-masing tetapi agak kurang untuk kebutuhan saya. Anynote terlihat lumayan, tetapi tidak punya klien web, dan Milanote tampaknya lebih cocok jika porsi papan inspirasi lebih besar. Jadi, kalau bukan karena isu kali ini, saya masih merasa Notion adalah opsi yang menarik
    • Untuk repositori pengetahuan pribadi, saya ingin bilang sebaiknya jauhi layanan yang proprietari. Saya suka Logseq, tetapi juga mulai khawatir itu tampak seperti abandonware
    • Proyek saya, hyperclast, juga mungkin layak dilihat. Saya juga sudah merapikan halaman perbandingan dengan Notion, Obsidian, dll.
    • Saya memakai Outline dengan self-hosting. Mungkin fitur AI terbarunya tidak sebanyak itu, tetapi saya merasa hampir semua yang dibutuhkan sebagai alternatif Notion sudah ada
    • Saya pindah dari Obsidian ke Joplin beberapa tahun lalu, dan saya puas karena ini sepenuhnya FOSS serta bisa sinkron dengan instance Nextcloud pribadi saya
  • Saya rasa perusahaan besar harus menangani keamanan dan privasi pengguna maupun karyawan dengan jauh lebih serius
    • Mungkin dewan direksi dan pemegang saham perusahaan besar juga tidak boleh bisa bersembunyi di balik struktur hukum, dan harus menanggung tanggung jawab finansial atas masalah seperti ini
    • Menurut saya perusahaan hanya bergerak jika ada alasan. Pada akhirnya pengguna harus lebih peduli pada privasi mereka sendiri dan, bila perlu, mau mengganti produk. Hanya dengan mengkritik, pendapatan tidak akan terguncang, jadi dari sudut pandang perusahaan tidak banyak yang berubah
    • Ke depan, sepertinya firma konsultasi akan mempromosikan berapa banyak perbaikan kerentanan yang bisa dilakukan per sejuta token, dan tim engineering akan mendapat tekanan untuk menggabungkan kode hasil generatif. Layanan review PR keamanan dan audit codebase yang memakai banyak token seperti Dependabot atau SonarQube juga tampaknya akan makin banyak, dan bidang ini terlihat seperti pasar yang bagus untuk tim kecil membangun ARR dengan cepat
    • Pada akhirnya, untuk benar-benar mencegah masalah seperti ini, para pemilih harus memilih politisi dan regulasi yang benar-benar menghukum perusahaan secara nyata
    • Secara realistis, saya rasa perusahaan hanya melihat profit. Motivasinya tampak jauh lebih kuat untuk menghasilkan uang secepat mungkin, exit, lalu lanjut ke venture berikutnya
  • Saya pernah memikirkan arsitektur di mana server hampir tidak menyimpan data pengguna, dan tiap pengguna memegang datanya sendiri lalu hanya materialize on-demand saat diperlukan. Kebocoran akibat kesalahan manusia sulit dihindari, jadi solusi paling mendasar terasa adalah menyimpan lebih sedikit sejak awal. Namun ada banyak tantangan seperti biaya penggabungan data grup, masalah agregasi karena pengguna offline, pencegahan scraping klien, dan kontrol atas perubahan data yang tidak diizinkan. Misalnya, saya pernah membayangkan model dengan sqlite per pengguna HN dan server mengambil postingan dari masing-masing, tetapi jika satu orang saja tidak tersedia maka hasilnya bisa hilang, jadi tingkat kesulitan praktisnya tampak tinggi
    • Saya juga suka ide itu, tetapi pada akhirnya mudah kembali ke bentuk yang mirip sistem sekarang. Pengguna memakai banyak perangkat, jadi akhirnya tetap butuh layanan sinkronisasi, dan ketika kompleksitasnya membesar, semuanya cenderung kembali diserahkan ke pihak ketiga, lalu kita kembali ke dunia login dan pengelolaan data ala FB, Google, dan Apple
  • Saya sangat banyak memakai Notion dan pernah membuat beberapa integrasi; secara keseluruhan ini aplikasi yang bagus, pemanfaatan AI-nya juga lumayan, dan terus membaik. Saya benar-benar berharap masalah ini diperbaiki, dan saya senang API-nya belakangan banyak membaik sehingga database views kini didukung sebagai objek kelas satu. Masih ada beberapa hal kecil lagi yang saya harapkan dari API publik
  • Postingannya cuma beberapa kalimat pendek, jadi saya sampai bertanya apakah hal seperti itu pun perlu ditulis dengan LLM
  • Aplikasi macOS Notion adalah salah satu perangkat lunak terburuk yang pernah saya pakai. Rasanya seperti mengabaikan hampir semua konvensi desain platform
    • Saya berharap budaya aplikasi web wrapper seperti ini cepat hilang. Terlalu banyak layanan yang merusak pengalaman pengguna dengan cara ini
    • Baru sekitar satu jam setelah dipasang, service worker-nya sudah memakai 7GB disk, dan saya kaget. Saya hampir tidak mengunggah file apa pun, jadi saya tidak tahu apa yang sebenarnya di-cache sebanyak itu
    • Pada akhirnya, fakta bahwa ini Electron rasanya sudah menjelaskan semuanya
    • Sebenarnya ini bukan aplikasi macOS sungguhan, melainkan lebih mirip bungkusan aplikasi web