หน้าสาธารณะของ Notion ทั้งหมดกำลังเปิดเผยอีเมลของผู้แก้ไขทุกคน

 (twitter.com/weezerOSINT)
11 คะแนน โดย GN⁺ 10 일 전 | 3 ความคิดเห็น | แชร์ทาง WhatsApp
  • ใน หน้าสาธารณะของ Notion มีการเปิดเผย UUID ของผู้แก้ไขโดยไม่ต้องยืนยันตัวตน และสามารถดึง ชื่อ·อีเมล·รูปโปรไฟล์ ได้ด้วยคำขอ POST เพียงครั้งเดียว
  • ในวิกิหรือเอกสารบริษัทที่เปิดสาธารณะ อีเมลพนักงาน ที่เคยแก้ไขหน้านั้นอาจถูกเปิดเผยตรง ๆ และในหน้า Notion Community ก็ตรวจพบ อีเมล 12 รายการจาก 13 user ID
  • ในการทดสอบพบทั้ง พนักงาน Notion, service account อย่าง svc-notion-prod@makenotion.com และผู้รับจ้างภายนอก โดยสามารถดูได้โดยไม่ต้องมี คุกกี้·โทเค็น·ขั้นตอนยืนยันตัวตน ใด ๆ
  • getLoginOptions ก็สามารถเรียกใช้ได้โดยไม่ต้องยืนยันตัวตนเช่นกัน ทำให้แยกได้ว่าแต่ละบัญชีใช้ การล็อกอินด้วยรหัสผ่าน หรือใช้ SSO
  • ปัญหานี้ยัง ไม่ได้รับการแก้ไขแม้มีการรายงานตั้งแต่ปี 2022 และสำหรับองค์กรที่ใช้หน้าสาธารณะอย่างกว้างขวาง ก็มี ความเสี่ยงการเปิดเผย PII สูง

วิธีทำซ้ำและข้อมูลที่ถูกเปิดเผย

  • ภายในข้อมูลสิทธิ์ของหน้าสาธารณะ Notion API จะส่งกลับ UUID ของผู้แก้ไข และกระบวนการนี้ ไม่ต้องยืนยันตัวตน
  • เมื่อตรวจสอบหน้า Notion Community พบ user ID 13 รายการ ในสิทธิ์ของบล็อก และเมื่อนำไปส่งต่อยัง /api/v3/syncRecordValuesMain ก็สามารถดึง ที่อยู่อีเมล 12 รายการ ได้
    • ข้อมูลที่ส่งกลับมีทั้ง พนักงาน Notion, production service account คือ svc-notion-prod@makenotion.com และ ผู้รับจ้างภายนอก
    • ทั้งหมดนี้ตรวจพบได้จาก เพียงหน้าเดียว
  • สามารถส่งคำขอได้โดยไม่ต้องมี คุกกี้, โทเค็น หรือ ขั้นตอนยืนยันตัวตน เพิ่มเติม

ผลกระทบและความเสี่ยงเพิ่มเติม

  • หน้า Notion ถูกใช้อย่างแพร่หลายในหลายรูปแบบ เช่น วิกิบริษัท, ประกาศรับสมัครงาน, เอกสารสาธารณะ, คู่มือ onboarding
  • การค้นหาด้วย site: notion.site สามารถพบหน้าสาธารณะได้ หลายพันหน้า
  • สำหรับหน้าสาธารณะเหล่านี้แต่ละหน้า เพียงเรียก API แบบไม่ยืนยันตัวตนครั้งเดียวก็อาจ เปิดเผยอีเมลของผู้แก้ไข ได้
  • หาก enterprise workspace ที่มีพนักงาน 500 คน แชร์หน้าสาธารณะ ก็อาจได้อีเมลบริษัท 500 รายการจาก คำขอเพียงครั้งเดียว
  • ไม่มี rate limiting และสามารถ ประมวลผลแบบแบตช์ครั้งละ 50 คน ได้
  • getLoginOptions ก็ เรียกได้โดยไม่ต้องยืนยันตัวตน เช่นกัน
  • เมื่อนำมารวมกัน จะสามารถแยกได้ว่าแต่ละบัญชีใช้ การล็อกอินด้วยรหัสผ่าน หรือ SSO
  • การผสมกันของข้อมูลนี้อาจกลายเป็นรายการเป้าหมายฟรีสำหรับ credential stuffing
  • การรายงานครั้งแรกถูกส่งเข้า HackerOne เมื่อ 28 กรกฎาคม 2022
  • หลังจากนั้นผ่านไปเกือบ 4 ปี ก็ยังไม่ได้รับการแก้ไข
  • มีการค้นพบและรายงานปัญหาเดียวกันอีกครั้งแยกต่างหาก แต่ถูกจัดเป็น รายงานซ้ำ
  • เมื่อลองทดสอบอีกครั้งก็ยังพบว่าเป็น endpoint เดิม, สถานะไม่ต้องยืนยันตัวตน, และ ยังคงส่งกลับอีเมล
  • HackerOne จัดรายงานนี้เป็น informative และตามต้นฉบับ ไม่มีการออก CVE, ไม่มี bug bounty
  • ถูกจัดว่าเป็นสถานะ การเปิดเผย PII ของลูกค้า
  • ทีมที่ใช้หน้าสาธารณะของ Notion ควร ตรวจสอบการตั้งค่าการแชร์

บทความที่เกี่ยวข้อง

3 ความคิดเห็น

 
cshj55 10 일 전

หลังจาก Notion AI แล้ว ก็กลายเป็นว่าไม่รู้ด้วยซ้ำว่าเป็นแอปอะไรไปแล้ว
มีเรื่องแบบนี้เกิดขึ้นด้วยแฮะ
 
devsepnine 9 일 전

ตั้งแต่ย้ายจาก Notion ไป Obsidian ก็แทบไม่ได้ใช้แล้ว..
 
GN⁺ 10 일 전
ความคิดเห็นจาก Hacker News
  • ฉันไปเห็นว่าในหน้าช่วยเหลืออย่างเป็นทางการระบุไว้ว่า ถ้านำหน้า Notion ไปเผยแพร่บนเว็บ เมตาดาต้าอาจมีชื่อ รูปโปรไฟล์ และอีเมลของผู้ใช้ที่มีส่วนร่วมรวมอยู่ด้วย ประเด็นที่ดูเป็นปัญหายิ่งกว่าคือการเปิดเผย PII แบบนี้ถูกซ่อนไว้เหมือนเชิงอรรถ
    • ตัวปัญหาเองก็น่าเหลือเชื่ออยู่แล้ว แต่ท่าทีที่เหมือนยอมรับว่าเป็นเรื่อง by design ยิ่งทำให้อึ้งกว่าเดิม
    • ในฐานะผู้ใช้ Notion ที่ใช้หน้าสาธารณะเหมือนกัน ฉันรู้สึกว่านี่เป็น การออกแบบที่ไร้เหตุผล จริงๆ
    • จำได้ว่าเคยเห็นเรื่องคล้ายกันนี้ใน RSS feed ของ CMS บางตัวด้วย
  • ผมคือ Max จาก Notion ประเด็นนี้มีการบันทึกไว้ในเอกสารแล้ว และตอนเผยแพร่ก็มีคำเตือนขึ้น แต่ผมเห็นว่าแค่นั้นยังไม่พอ ตอนนี้กำลังพิจารณาทางเลือกทั้งการ ลบข้อมูลส่วนบุคคล ออกจาก public endpoint หรือแทนที่ด้วย email proxy แบบ public commit ของ GitHub และถึงจะดูเหมือนง่าย แต่ก็ไม่ใช่งานแก้ที่เสร็จได้ใน 1 นาที
    • ถึงอย่างนั้น ประเด็นนี้อยู่มาถึง 4 ปี ก็ยังรู้สึกว่านานเกินไป
    • ก็ยังสงสัยว่าแท้จริงแล้วมี ข้อความเตือน แบบไหนแสดงอยู่ เพราะตอนที่ฉันสร้างหน้าสาธารณะเมื่อเดือนก่อน ฉันเข้าใจแค่ว่าเนื้อหาของหน้าจะถูกเปิดเผย ไม่ได้รู้สึกเลยว่าจะรวมถึงอีเมลของผู้แก้ไขด้วย
    • แต่ถึงอย่างไร Notion ก็น่าจะมีเวลามากกว่า 1 นาที ตั้งนานแล้วไม่ใช่หรือ
    • ไหนๆ ก็มาแล้ว อยากถามด้วยว่าทำไม Notion บน Firefox ถึงได้ ช้าผิดปกติอย่างมาก
    • เรื่องนี้มีคนรายงานไว้ตั้งแต่ปี 2022 แล้ว และด้วยลักษณะที่ดูเป็นข้อผิดพลาดชัดเจน ก็คงไม่ใช่การคาดหวังเกินไปถ้าจะคิดว่าป่านนี้น่าจะแก้แล้ว
  • ไม่ได้ใช้ Notion มาสักพัก พอกลับไปดูอีกที บริการที่เมื่อก่อนเคยนึกว่าจะยกเป็นตัวอย่างของ hypertext ได้ กลับชูคำอย่าง AI workplace หรือ AI everything app จนรู้สึกว่าอัตลักษณ์เปลี่ยนไปหมด เลยอดสงสัยไม่ได้ว่าเกิดอะไรขึ้น
    • ฉันก็ไม่ได้ใช้มาหลายปีเหมือนกัน แต่ทุกครั้งที่มีใครสักคนในบริษัทผลักดัน Notion อย่างหนักและพาทีมย้ายไปใช้ ฉันกลับเห็นว่าความเร็วในการทำงานลดลงชัดเจนบ่อยมาก ถึงขั้นมีมุกว่าถ้าจะป่วนคู่แข่งก็ส่งคนไปช่วย ติดตั้ง Notion ให้เลย จากที่ฉันเห็น เส้นโค้งการเรียนรู้ยาวกว่าที่คิด มันประหยัดเวลาให้คนผลักดันไม่กี่คน—ส่วนมากเป็น PM หรือฝั่ง operations—แต่กลับบังคับให้คนส่วนใหญ่ทำงานแบบ การจัดการที่เน้นความอ่านง่าย พองานที่รกแต่สะท้อนความจริงถูกยัดให้เข้ากับตารางสวยๆ และวิวที่จัดระเบียบเรียบร้อย ก็เกิดสภาพที่ดูดีแต่ไม่แม่นยำแพร่ไปทั้งองค์กร
    • Notion วางตำแหน่งตัวเองเป็น แอปงานแบบรวมศูนย์ มาหลายปีแล้ว และถ้าสินค้ารวมทั้งการจัดการโปรเจกต์กับการทำเอกสารไว้ด้วยกัน กระแสที่ใส่ AI เข้าไปก็ดูเป็นธรรมชาติ
    • สำหรับฉัน Notion ไม่ได้เพิ่งจะสูญเสียความหมาย “ตอนนี้” แต่มันเป็น แอปที่พยายามทำทุกอย่าง มาตั้งแต่แรกอยู่แล้ว และผลลัพธ์ก็คือเป็นเครื่องมือที่กระจัดกระจายและไร้ประสิทธิภาพ การเติม AI เข้าไปก็แค่ต่อยอดจากแนวนั้น
    • อยากรู้ว่าคำว่า ตัวอย่างของ hypertext ที่พูดถึงตรงนี้หมายถึงอะไรแน่
    • ฉันค่อนข้างคุ้นกับ Unix ก็เลยพอใจกับการที่ในชีวิตประจำวันไม่จำเป็นต้องใช้ซอฟต์แวร์แบบนี้เลย
  • จำได้ว่าปัญหานี้เป็นประเด็นมานานอย่างน้อย 5 ปีขึ้นไป แล้ว ที่จริงเมื่อก่อนก็เคยมีคนดูหน้า Notion ของฉันแล้วทำให้ความไม่เปิดเผยตัวตนของฉันแตกไปด้วย
    • เลยเริ่มรู้สึกว่าถ้าจะรักษาความเป็นส่วนตัว ตอนนี้คงต้องแยกบัญชีและจัดการร่องรอยในระดับ OPSEC กันแล้วหรือเปล่า
  • จังหวะมันพอดีแปลกๆ เมื่อกี้เพิ่งให้ Claude เปรียบเทียบ Notion vs Obsidian แล้วแวะมาที่ HN ก็เจอโพสต์นี้ทันที เลยรู้สึกถูกจังหวะดี
    • ขอบคุณทุกคนสำหรับคำแนะนำ มีประโยชน์มาก งานที่ฉันจะใช้ไม่ใช่ personal knowledge graph แต่เป็นงานสร้าง ADU เลยต้องการทั้ง การจัดการงาน, กระดานแรงบันดาลใจ, ตารางต้นทุน, รายการสั่งซื้อ และเอกสาร ในแง่นี้ Notion ยังดูทรงพลังมาก ส่วนเครื่องมืออย่าง Logseq, Obsidian, Joplin, Trilium และ Craft นั้นเก่งในด้านของตัวเองแต่ดูยังไม่พอต่อสิ่งที่ฉันต้องการ Anynote ก็ดูน่าสนใจแต่ไม่มีเว็บไคลเอนต์ ส่วน Milanote น่าจะเหมาะกว่าถ้าให้น้ำหนักกับกระดานแรงบันดาลใจมาก สรุปคือถ้าไม่มีประเด็นนี้ Notion ก็คงยังเป็นตัวเลือกที่ น่าสนใจมาก
    • ถ้าเป็น คลังความรู้ส่วนตัว ฉันอยากบอกว่าให้อยู่ห่างจากบริการแบบปิดผูกขาดไว้ ฉันชอบ Logseq แต่ก็เริ่มกังวลว่ามันจะกลายเป็น abandonware มากขึ้นเรื่อยๆ
    • โปรเจกต์ของฉัน hyperclast ก็น่าลองดูเหมือนกัน มีหน้าเปรียบเทียบกับ Notion, Obsidian และอื่นๆแยกไว้ด้วย
    • ฉันใช้ Outline แบบ self-hosting อยู่ ถึงฟีเจอร์ AI ใหม่ๆ อาจจะน้อยกว่า แต่ในฐานะตัวแทน Notion ฉันรู้สึกว่ามันมีแทบทุกอย่างที่ต้องการ
    • ฉันย้ายจาก Obsidian ไป Joplin เมื่อหลายปีก่อน และก็พอใจมากเพราะมันเป็น FOSS เต็มตัว แถมซิงก์กับ Nextcloud instance ส่วนตัวได้ด้วย
  • ฉันคิดว่าบริษัทใหญ่ควรให้ความสำคัญกับ ความปลอดภัยและความเป็นส่วนตัว ของผู้ใช้และพนักงานมากกว่านี้
    • บางทีคณะกรรมการและผู้ถือหุ้นของบริษัทใหญ่ก็ควรถูกทำให้ไม่สามารถซ่อนอยู่หลังโครงสร้างทางกฎหมายได้ และต้องรับ ความรับผิดชอบทางการเงิน ต่อปัญหาแบบนี้
    • ฉันมองว่าบริษัทจะขยับก็ต่อเมื่อมีเหตุผลมากพอ สุดท้ายแล้วผู้ใช้ต้องใส่ใจ ความเป็นส่วนตัว ของตัวเองมากขึ้น และพร้อมจะเปลี่ยนผลิตภัณฑ์เมื่อจำเป็น แค่การตำหนิอย่างเดียวไม่กระทบรายได้ จากมุมของบริษัทจึงไม่มีอะไรเปลี่ยนมากนัก
    • ต่อไปบริษัทที่ปรึกษาคงเริ่มโฆษณาว่าแก้ ช่องโหว่ ได้กี่รายการต่อหนึ่งล้านโทเคน และทีมวิศวกรรมก็จะถูกกดดันให้รวมโค้ดที่สร้างขึ้นมากขึ้น บริการรีวิว PR ด้าน ความปลอดภัย และตรวจสอบโค้ดเบสที่ใช้โทเคนเยอะๆ แบบ Dependabot หรือ SonarQube ก็น่าจะเพิ่มขึ้นอีก และตลาดนี้ดูเหมือนเป็นพื้นที่ที่ทีมเล็กสร้าง ARR ได้เร็ว
    • สุดท้ายถ้าจะหยุดปัญหาแบบนี้อย่างจริงจัง ผู้มีสิทธิเลือกตั้งก็ควรเลือก นักการเมืองและกฎระเบียบ ที่สามารถลงโทษบริษัทได้จริง
    • มองตามจริง บริษัทสนใจแค่ กำไร เท่านั้น แรงจูงใจที่เห็นชัดกว่าคือรีบสร้างรายได้ให้เร็วที่สุด ออกตัวให้ได้ แล้วค่อยไปทำสตาร์ทอัพถัดไป
  • ฉันเคยคิดถึงสถาปัตยกรรมที่เซิร์ฟเวอร์แทบไม่เก็บข้อมูลผู้ใช้เลย แต่ละคนถือข้อมูลของตัวเองไว้และค่อย materialize แบบ on-demand เมื่อจำเป็น การรั่วไหลจากความผิดพลาดของคนหลีกเลี่ยงได้ยาก เลยรู้สึกว่าทางแก้ที่รากที่สุดคือ เก็บให้น้อยลงตั้งแต่แรก แต่ก็มีโจทย์ยากเต็มไปหมด ทั้งต้นทุนการรวมข้อมูลของกลุ่ม ปัญหาการคำนวณรวมเมื่อผู้ใช้ออฟไลน์ การป้องกัน client scraping และการควบคุมไม่ให้มีการแก้ไขข้อมูลที่ไม่ได้รับอนุญาต เช่นอาจจินตนาการถึงโมเดลที่ผู้ใช้ HN แต่ละคนมี sqlite ของตัวเองแล้วเซิร์ฟเวอร์ไปดึงโพสต์จากแต่ละคน แต่ถ้าคนใดคนหนึ่งใช้งานไม่ได้ ผลลัพธ์ก็อาจหายไป ทำให้ดูยากมากในทางปฏิบัติ
    • ฉันก็ชอบไอเดียนั้นเหมือนกัน แต่สุดท้ายมันก็มักย้อนกลับไปคล้ายระบบปัจจุบันอยู่ดี ผู้ใช้มีหลายอุปกรณ์ สุดท้ายก็ต้องมี บริการซิงก์ และเมื่อความซับซ้อนเพิ่มขึ้น ก็จะกลับไปฝากไว้กับบุคคลที่สามอีก จนวนกลับเข้าสู่โลกของการล็อกอินและการจัดการข้อมูลแบบ FB, Google, Apple อยู่ดี
  • ฉันใช้ Notion หนักมากและเคยทำ integration ไว้หลายตัว โดยรวมยังรู้สึกว่าเป็น แอปที่ดี ใช้ AI ได้โอเค และพัฒนาต่อเนื่อง อยากให้แก้ปัญหานี้จริงๆ และก็ดีใจที่ช่วงหลัง API ดีขึ้นมากจนรองรับ database views เป็น first-class object แล้ว ส่วน public API ก็ยังมีรายละเอียดเล็กๆ น้อยๆ ที่อยากได้เพิ่มอีกหน่อย
  • ทวีตสั้นๆ แค่ไม่กี่คำแบบนั้น ยังจำเป็นต้องใช้ LLM มาเขียนด้วยหรือ
  • แอป macOS ของ Notion เป็นหนึ่งในซอฟต์แวร์ที่แย่ที่สุดเท่าที่ฉันเคยใช้มาเลย ให้ความรู้สึกว่าแทบไม่สนใจ ธรรมเนียมการออกแบบ ของแพลตฟอร์มเลย
    • ฉันหวังจริงๆ ให้ยุคของ แอปแบบเว็บแรปเปอร์ หมดไปเสียที รู้สึกว่ามีบริการมากเกินไปที่ทำลายประสบการณ์ผู้ใช้ด้วยวิธีนี้
    • เพิ่งติดตั้งไปแค่ประมาณชั่วโมงเดียว service worker ก็ใช้ ดิสก์ 7GB แล้ว ทั้งที่แทบไม่ได้อัปโหลดไฟล์อะไรเลย ไม่รู้ว่าแคชอะไรนักหนา
    • สุดท้ายคำว่า Electron ก็อธิบายทุกอย่างได้เลย
    • ที่จริงนี่ไม่ใช่แอป macOS แท้ๆ แต่ใกล้เคียงกับ เวอร์ชันห่อเว็บแอป มากกว่า