你以为分享的是工作文档,其实顺手给黑客发了一份精准的钓鱼通讯录。500强企业都在用的工具,安全性竟然全靠用户“自己看文档”?
你以为公开的只是文档,实际上被公开的,是每一位员工的邮箱信息!
无需登录、无需凭证、无需任何授权。只需一个 POST 请求,外部任何人都能直接获取页面编辑者的姓名、邮箱和头像。
前几天,这条帖子在 X(原 Twitter)上炸开了锅。
发帖人 impulsive 是一名独立安全研究员。
他选取了一个任何人都能访问的 Notion 公开页面。据他所述,他从页面源码中提取了编辑者的用户 ID,共 13 个,请求过程无需任何认证。
随后,他向 Notion 的一个接口发送了一个 POST 请求:不需要登录、不需要 Cookie、也不需要任何权限。
接口最终返回了 12 个人的全名、邮箱和头像,其中既包括 Notion 员工,也包含一个生产环境服务账号和一名外部承包商。
一个 POST 请求,无需任何认证,就返回了 Notion 员工的全名、企业邮箱和头像。来源:@weezerOSINT
所有这些信息都来自同一个公开页面、同一次请求,且全程零认证。
随后,他在 X 上发帖,完整展示了整个操作过程。他说道:
“只要你公司的 Notion 页面是公开的,页面上每一位编辑者的邮箱,都可能被直接暴露出来。”
更关键的是,这并非什么高深的黑客技巧。
据这位研究者称,通过搜索公开可访问的 Notion 页面,可以找到大量暴露在外的页面样本。
在这些公开页面中,部分页面的编辑者信息可能通过类似方式被进一步关联和查询。
他还提到,在某些场景下,如果一个大型企业工作区共享了公开页面,相关接口理论上可能一次返回更多企业邮箱;此外,该接口还疑似支持批量查询。
更离谱的是,这事 Notion 早就知道。早在 2022 年 7 月,就有人通过 HackerOne 提交了邮箱隐私泄露的风险,将近四年过去,这个安全问题仍然未被修复。
Notion 全球用户超过 1 亿,超过半数财富 500 强企业都在使用。但这家估值 110 亿美元的公司,却仍让用户个人信息暴露在外。
帮助中心写了,但你看过帮助中心吗?
Notion 帮助中心提到,当你把 Notion 页面发布到网络时,你的姓名、头像和邮箱地址这些网页元数据,可能随之泄露。
但问题来了:你在 Notion 里点击“Publish to web”时,有没有看到过任何弹窗告诉你“你的邮箱会被公开”?
研究员 impulsive 在使用全新账号测试发布流程时,界面中并未看到任何有关邮箱暴露风险的明确警示。
用户只需点击“分享”和“发布”,随后看到预览页和发布按钮。整个流程中,没有显著提示相关个人信息可能被接口获取。
把风险写在帮助中心第 N 页的某个注释里,与在你按下发布按钮时弹出一个红色警告框,是两种完全不同的事。
按照 Notion 官方隐私说明,电子邮箱地址属于账户信息;而在其公开页面帮助文档中,Notion 又明确提示网页元数据可能包含贡献者邮箱。
这意味着,同一类信息,一边被 Notion 归入账户信息与隐私政策框架,另一边又可能在公开页面场景下进入可公开访问的网页元数据,二者之间存在难以回避的冲突。
真正需要追问的,不只是这些邮箱是否已被大规模利用,而是 Notion 为什么会把本应纳入隐私保护框架的信息,设计进公开页面的暴露链路中。
这事 2022 年就有人报了
这并不是新问题。
研究员 impulsive 在帖子里提到:最初的报告是 2022 年 7 月通过 HackerOne 提交的。
Notion 当时把这份报告标记为“informative”。
在 HackerOne 的分类体系里,这意味着:我们知道了,但不认为这是一个需要修复的安全问题。
这份报告至今仍然公开可查(编号 2853023),标题就叫“Information Disclosure”(信息泄露)。
https://hackerone.com/reports/2853023
摘要里写道:
“在一次安全评估中,研究人员发现邮箱地址暴露在公开可访问的位置,用 curl 等标准工具即可获取,不需要认证,也不需要任何特殊权限。”
从报告提交到现在,将近四年。
四年里,Notion 做了很多事:推出了 AI 功能、发布了 Notion Mail、估值到了 110 亿美元、用户从 2000 万涨到了 1 亿。
可这个接口,仍然照常工作。
研究员 impulsive 最近复测时发现,同一个接口、同样零认证,用户邮箱依旧可以被直接获取。
你以为分享的是文档,其实附赠了一份通讯录
很多人会觉得:我的公开页面上又没写什么机密,暴露就暴露呗。
但泄露的重点不在于页面正文,而是你的身份。
想象一个场景:你们公司用 Notion 做了一个公开的产品帮助文档。
十几个同事参与编辑过。现在,任何人都可以用一个 POST 请求,拿到这十几个人的全名、工作邮箱和头像。
拿到这些信息能干什么?
发一封钓鱼邮件。
邮件里写着:“嗨,[你的真名],我是[你同事的真名],这个文档需要你重新审核一下,请点击这个链接。”
收件人看到同事的名字,看到自己确实编辑过那个文档,大概率就点了。
研究员 impulsive 还提到,可以通过另一个同样零认证的接口 getLoginOptions,来判断一个邮箱是用密码登录还是 SSO 登录。
这意味着攻击者不仅能拿到你的邮箱,还能知道哪些账号可以直接用密码试着登录。
但即使不考虑这一点,光是“全名 + 企业邮箱 + 头像”这个组合,对定向钓鱼来说已经足够了。
你以为分享的是知识,其实你还附赠了一份团队花名册。
“我们做得不够好”,然后呢?
Notion 员工 Max Schoening 在 Hacker News 上做了回应。
他主要说了两点。
第一,这个行为有文档记录,而且在用户发布页面时会有提醒;
第二,他们不喜欢这种现状,正在研究修复方案:要么从公开端点移除个人信息,要么像 GitHub 公共提交那样,用邮箱代理机制替代真实邮箱。
有人追问提醒长什么样。
Schoening 贴出了一张截图:当用户开始向页面贡献内容时,会看到一条提示,大意是你的信息“可能变得可见”。他自己也觉得这样的提醒不够明显,会在接下来进行优化:
网友们对于这样的回应显然不买账。
有人说,这个警告过于模糊,“可能变得可见”听起来像 Notion 自己都不确定会不会暴露,完全是含糊其辞。
还有人指出,“任何能查看此页面的人”读起来像是“工作区里能看到这个页面的人”,根本不像是在说“互联网上的任何陌生人”。
Schoening 说修复不是一分钟能搞定的事。底下立刻有人怼回去:Notion 修复这个问题的时间肯定不止一分钟,你们已经有四年了。
有人更直接:考虑到这个问题早在 2022 年就被报告了,而且显然是个错误,要求它在现在这个时间点已经被修复,并不算过分。
Schoening 对此回复了一句“同意,我们会做得更好。”
事实面前,这句承诺显然有些苍白。
一条高赞评论写道:你应该解释清楚为什么修不了,否则所有人的结论就是——你们明知四年来一直在泄露用户数据,却故意不采取任何措施。
有人干脆说道:这个问题四年前就被报告了,恕我不相信你说的任何一个字。
有人直接追问 Schoening:这个问题会被优先处理并修复吗?
截至发稿,没有回答。
要注意,以上所有回应都来自一个员工在社交媒体上的个人发言,不是 Notion 的正式安全公告。
但它已经是目前唯一的官方口径了。至于“正在研究修复方案”,没有时间表。
如果你正在用 Notion 做公开页面,现在就值得去检查一下:这些页面是不是真的需要公开?编辑者列表里,有没有不应该被暴露的人?
Notion的帮助中心并不会主动弹出提示窗口。
不过,你现在已经了解了这一情况。
参考资料:
https://x.com/weezerOSINT/status/2045849358462222720?s=20
https://news.ycombinator.com/item?id=47827283
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/archives/34803
