คุณคิดว่ากำลังแชร์เอกสารงาน แต่จริงๆ แล้วคุณกำลังส่งสมุดรายชื่อฟิชชิ่งให้แฮกเกอร์โดยไม่รู้ตัว เครื่องมือที่บริษัทใน Fortune 500 ใช้ ความปลอดภัยกลับขึ้นอยู่กับ “ให้ผู้ใช้ไปอ่านเอกสารเอง” เท่านั้น?
คุณคิดว่าสิ่งที่เปิดเผยเป็นแค่เอกสาร แต่สิ่งที่ถูกเปิดเผยจริงๆ คือข้อมูลอีเมลของพนักงานทุกคน!
ไม่ต้องเข้าสู่ระบบ ไม่ต้องมีหลักฐานยืนยันตัวตน ไม่ต้องมีการอนุญาตใดๆ แค่ส่งคำขอ POST ครั้งเดียว คนภายนอกก็สามารถดึงชื่อ อีเมล และรูปโปรไฟล์ของผู้แก้ไขหน้าเพจได้
ไม่กี่วันที่ผ่านมา โพสต์นี้สร้างกระแสบน X (เดิมคือ Twitter)
ผู้โพสต์ impulsive เป็นนักวิจัยด้านความปลอดภัยอิสระ
เขาเลือกหน้า Notion สาธารณะที่ใครก็เข้าถึงได้ ตามที่เขากล่าว เขาดึง User ID ของผู้แก้ไขจากซอร์สโค้ดของหน้าได้ทั้งหมด 13 ID โดยกระบวนการนี้ไม่ต้องมีการยืนยันตัวตนใดๆ
จากนั้น เขาส่งคำขอ POST ไปยัง API หนึ่งของ Notion: ไม่ต้องเข้าสู่ระบบ ไม่ต้องใช้คุกกี้ ไม่ต้องมีสิทธิ์ใดๆ
API สุดท้ายส่งคืนชื่อเต็ม อีเมล และรูปโปรไฟล์ของ 12 คน ซึ่งรวมถึงพนักงาน Notion บัญชีบริการในสภาพแวดล้อมการผลิต และผู้รับเหมาภายนอกหนึ่งราย
คำขอ POST เดียว โดยไม่ต้องยืนยันตัวตนใดๆ ก็ส่งคืนชื่อเต็ม อีเมลบริษัท และรูปโปรไฟล์ของพนักงาน Notion ที่มา: @weezerOSINT
ข้อมูลทั้งหมดนี้มาจากหน้าเพจสาธารณะเดียวกัน คำขอเดียวกัน และไม่มีการยืนยันตัวตนตลอดกระบวนการ
จากนั้น เขาโพสต์บน X แสดงขั้นตอนทั้งหมด เขากล่าวว่า:
“ตราบใดที่หน้า Notion ของบริษัทคุณเป็นแบบสาธารณะ อีเมลของผู้แก้ไขทุกคนบนหน้านั้นอาจถูกเปิดเผยโดยตรง”
ที่สำคัญกว่านั้น นี่ไม่ใช่เทคนิคแฮ็กขั้นสูงอะไร
ตามที่นักวิจัยรายนี้กล่าว การค้นหาหน้า Notion ที่เข้าถึงได้แบบสาธารณะจะพบตัวอย่างหน้ามากมายที่ถูกเปิดเผย
ในหน้าเพจสาธารณะเหล่านี้ ข้อมูลผู้แก้ไขของบางหน้าอาจถูกเชื่อมโยงและสอบถามเพิ่มเติมได้ด้วยวิธีที่คล้ายคลึงกัน
เขายังกล่าวอีกว่า ในบางสถานการณ์ หากพื้นที่ทำงานขององค์กรขนาดใหญ่แชร์หน้าเพจสาธารณะ API ที่เกี่ยวข้องอาจส่งคืนอีเมลบริษัทได้มากขึ้นในครั้งเดียว นอกจากนี้ API ดังกล่าวยัง疑似รองรับการสอบถามแบบเป็นกลุ่ม
ที่แย่กว่านั้นคือ Notion รู้เรื่องนี้มานานแล้ว ย้อนกลับไปในเดือนกรกฎาคม 2022 มีคนรายงานความเสี่ยงเรื่องการรั่วไหลของอีเมลส่วนตัวผ่าน HackerOne เกือบสี่ปีผ่านไป ปัญหาความปลอดภัยนี้ก็ยังไม่ได้รับการแก้ไข
Notion มีผู้ใช้ทั่วโลกมากกว่า 100 ล้านคน และมากกว่าครึ่งหนึ่งของบริษัทใน Fortune 500 ใช้งาน แต่บริษัทที่มีมูลค่า 11,000 ล้านดอลลาร์สหรัฐแห่งนี้ กลับยังปล่อยให้ข้อมูลส่วนบุคคลของผู้ใช้ถูกเปิดเผย
ศูนย์ช่วยเหลือเขียนไว้ แต่คุณเคยอ่านศูนย์ช่วยเหลือหรือไม่?
ศูนย์ช่วยเหลือของ Notion กล่าวว่า เมื่อคุณเผยแพร่หน้า Notion สู่เว็บ ข้อมูลเมตาของหน้าเว็บ เช่น ชื่อ รูปโปรไฟล์ และที่อยู่อีเมลของคุณ อาจรั่วไหลไปด้วย
แต่ปัญหาคือ: เมื่อคุณคลิก “Publish to web” ใน Notion คุณเคยเห็นป๊อปอัปใดๆ บอกคุณว่า “อีเมลของคุณจะถูกเปิดเผย” หรือไม่?
นักวิจัย impulsive ทดสอบขั้นตอนการเผยแพร่ด้วยบัญชีใหม่ทั้งหมด ไม่เห็นคำเตือนที่ชัดเจนเกี่ยวกับความเสี่ยงในการเปิดเผยอีเมลในอินเทอร์เฟซ
ผู้ใช้เพียงแค่คลิก “แชร์” และ “เผยแพร่” จากนั้นเห็นหน้าตัวอย่างและปุ่มเผยแพร่ ตลอดกระบวนการ ไม่มีคำเตือนที่เด่นชัดว่าข้อมูลส่วนบุคคลที่เกี่ยวข้องอาจถูกดึงไปโดย API
การเขียนความเสี่ยงไว้ในหมายเหตุเล็กๆ ที่หน้า N ของศูนย์ช่วยเหลือ กับการแสดงกล่องคำเตือนสีแดงตอนที่คุณกดปุ่มเผยแพร่ เป็นคนละเรื่องกันโดยสิ้นเชิง
ตามคำอธิบายความเป็นส่วนตัวอย่างเป็นทางการของ Notion ที่อยู่อีเมลถือเป็นข้อมูลบัญชี ในขณะที่เอกสารช่วยเหลือเกี่ยวกับหน้าเพจสาธารณะ Notion ระบุอย่างชัดเจนว่าข้อมูลเมตาของหน้าเว็บอาจมีอีเมลของผู้มีส่วนร่วม
ซึ่งหมายความว่า ข้อมูลประเภทเดียวกัน ด้านหนึ่ง Notion จัดให้อยู่ในกรอบนโยบายข้อมูลบัญชีและความเป็นส่วนตัว แต่อีกด้านหนึ่ง ในสถานการณ์หน้าเพจสาธารณะ ข้อมูลนี้อาจกลายเป็นข้อมูลเมตาของหน้าเว็บที่เข้าถึงได้แบบสาธารณะ ซึ่งทั้งสองอย่างนี้มีความขัดแย้งที่หลีกเลี่ยงได้ยาก
สิ่งที่ควรถามจริงๆ ไม่ใช่แค่ว่าอีเมลเหล่านี้ถูกนำไปใช้ในวงกว้างแล้วหรือไม่ แต่เป็นว่าทำไม Notion ถึงออกแบบให้ข้อมูลที่ควรอยู่ในกรอบการปกป้องความเป็นส่วนตัว ไปอยู่ในห่วงโซ่การเปิดเผยของหน้าเพจสาธารณะ
เรื่องนี้มีคนรายงานตั้งแต่ปี 2022
นี่ไม่ใช่ปัญหาใหม่
นักวิจัย impulsive กล่าวในโพสต์ว่า: รายงานครั้งแรกถูกส่งผ่าน HackerOne ในเดือนกรกฎาคม 2022
ตอนนั้น Notion ทำเครื่องหมายรายงานนี้ว่า “informative”
ในระบบการจัดหมวดหมู่ของ HackerOne นั่นหมายความว่า: เรารับทราบแล้ว แต่ไม่คิดว่านี่เป็นปัญหาด้านความปลอดภัยที่ต้องแก้ไข
รายงานนี้ยังคงเปิดให้ตรวจสอบได้ต่อสาธารณะ (หมายเลข 2853023) ชื่อเรื่องคือ “Information Disclosure” (การเปิดเผยข้อมูล)
https://hackerone.com/reports/2853023
ในบทสรุปเขียนว่า:
“ในการประเมินความปลอดภัยครั้งหนึ่ง นักวิจัยพบว่าที่อยู่อีเมลถูกเปิดเผยในตำแหน่งที่เข้าถึงได้แบบสาธารณะ สามารถดึงข้อมูลได้ด้วยเครื่องมือมาตรฐานอย่าง curl โดยไม่ต้องยืนยันตัวตน และไม่ต้องมีสิทธิ์พิเศษใดๆ”
นับตั้งแต่ส่งรายงานจนถึงตอนนี้ เกือบสี่ปีแล้ว
ในสี่ปีนี้ Notion ทำหลายอย่าง: เปิดตัวฟีเจอร์ AI, เปิดตัว Notion Mail, มูลค่าถึง 11,000 ล้านดอลลาร์สหรัฐ, ผู้ใช้เพิ่มจาก 20 ล้านเป็น 100 ล้านคน
แต่ API นี้ ยังคงทำงานตามปกติ
นักวิจัย impulsive ทดสอบซ้ำเมื่อเร็วๆ นี้ พบว่า API เดียวกัน ไม่ต้องยืนยันตัวตนเหมือนเดิม อีเมลผู้ใช้ก็ยังคงถูกดึงไปได้โดยตรง
คุณคิดว่ากำลังแชร์เอกสาร แต่จริงๆ แล้วคุณแถมสมุดรายชื่อให้ด้วย
หลายคนอาจคิดว่า: หน้าเพจสาธารณะของฉันก็ไม่ได้เขียนความลับอะไร เปิดเผยก็เปิดเผยสิ
แต่ประเด็นสำคัญของการรั่วไหลไม่ใช่เนื้อหาของหน้า แต่เป็นตัวตนของคุณ
ลองนึกภาพสถานการณ์: บริษัทคุณใช้ Notion ทำเอกสารช่วยเหลือผลิตภัณฑ์แบบสาธารณะ
เพื่อนร่วมงานกว่าสิบคนมีส่วนร่วมในการแก้ไข ตอนนี้ ใครก็ตามสามารถใช้คำขอ POST เพียงครั้งเดียว เพื่อรับชื่อเต็ม อีเมลที่ทำงาน และรูปโปรไฟล์ของคนเหล่านี้
ได้ข้อมูลเหล่านี้ไปทำอะไรได้?
ส่งอีเมลฟิชชิ่ง
ในอีเมลเขียนว่า: “สวัสดี [ชื่อจริงคุณ] ฉันคือ [ชื่อจริงเพื่อนร่วมงานคุณ] เอกสารนี้ต้องการให้คุณตรวจสอบอีกครั้ง กรุณาคลิกลิงก์นี้”
ผู้รับเห็นชื่อเพื่อนร่วมงาน เห็นว่าตัวเองเคยแก้ไขเอกสารนั้นจริงๆ ก็มีแนวโน้มสูงที่จะคลิก
นักวิจัย impulsive ยังกล่าวอีกว่า สามารถใช้ API อีกตัวที่ไม่ต้องยืนยันตัวตนอย่าง getLoginOptions เพื่อตรวจสอบว่าอีเมลนั้นใช้รหัสผ่านเข้าสู่ระบบหรือ SSO
ซึ่งหมายความว่าผู้โจมตีไม่เพียงได้อีเมลของคุณ แต่ยังรู้ว่าบัญชีไหนบ้างที่สามารถลองเข้าสู่ระบบด้วยรหัสผ่านได้โดยตรง
แต่ถึงไม่คิดถึงประเด็นนี้ แค่ “ชื่อเต็ม + อีเมลบริษัท + รูปโปรไฟล์” ก็เพียงพอสำหรับการฟิชชิ่งแบบเจาะจงเป้าหมายแล้ว
คุณคิดว่ากำลังแชร์ความรู้ แต่จริงๆ แล้วคุณแถมรายชื่อทีมงานให้ด้วย
“เราทำได้ไม่ดีพอ” แล้วไงต่อ?
พนักงาน Notion ชื่อ Max Schoening ตอบกลับบน Hacker News
เขาพูดถึงสองประเด็นหลัก
ประการแรก พฤติกรรมนี้มีบันทึกไว้ในเอกสาร และจะมีคำเตือนเมื่อผู้ใช้เผยแพร่หน้า
ประการที่สอง พวกเขาไม่ชอบสถานการณ์ปัจจุบันนี้ และกำลังศึกษาวิธีแก้ไข: อาจจะลบข้อมูลส่วนบุคคลออกจากเอนด์พอยต์สาธารณะ หรือใช้กลไกพร็อกซีอีเมลแทนอีเมลจริง เหมือนกับ commits สาธารณะของ GitHub
มีคนถามว่าคำเตือนมีลักษณะอย่างไร
Schoening แนบภาพหน้าจอ: เมื่อผู้ใช้เริ่มมีส่วนร่วมในหน้า จะเห็นข้อความแจ้งเตือน ความหมายคือ ข้อมูลของคุณ “อาจมองเห็นได้” ตัวเขาเองก็คิดว่าคำเตือนนี้ไม่ชัดเจนพอ และจะปรับปรุงต่อไป:
ผู้ใช้เน็ตไม่พอใจกับคำตอบแบบนี้อย่างเห็นได้ชัด
บางคนบอกว่า คำเตือนนี้คลุมเครือเกินไป “อาจมองเห็นได้” ฟังดูเหมือน Notion เองก็ไม่แน่ใจว่าจะถูกเปิดเผยหรือไม่ เป็นการพูดเลี่ยงๆ
บางคนชี้ให้เห็นว่า “ใครก็ตามที่สามารถดูหน้านี้ได้” อ่านแล้วเหมือน “คนในพื้นที่ทำงานที่สามารถดูหน้านี้ได้” ไม่ได้หมายถึง “คนแปลกหน้าบนอินเทอร์เน็ต” เลย
Schoening บอกว่าการแก้ไขไม่ใช่เรื่องที่ทำเสร็จได้ในนาทีเดียว มีคนตอบกลับทันทีว่า: เวลาที่ Notion ใช้ในการแก้ไขปัญหานี้คงไม่ใช่แค่นาทีเดียว คุณมีเวลาสี่ปีแล้ว
มีคนพูดตรงกว่านั้น: เมื่อพิจารณาว่าปัญหานี้ถูกรายงานตั้งแต่ปี 2022 และเห็นได้ชัดว่าเป็นข้อผิดพลาด การเรียกร้องให้แก้ไข ณ เวลานี้ ก็ไม่ใช่เรื่องเกินไป
Schoening ตอบกลับประโยคนี้ว่า “เห็นด้วย เราจะทำให้ดีขึ้น”
เมื่อเผชิญกับข้อเท็จจริง คำมั่นสัญญานี้ดูจืดชืดอย่างเห็นได้ชัด
ความคิดเห็นที่ได้รับคะแนนสูงเขียนว่า: คุณควรอธิบายว่าทำไมถึงแก้ไขไม่ได้ มิฉะนั้น ข้อสรุปของทุกคนก็คือ—คุณรู้ดีว่ากำลังรั่วไหลข้อมูลผู้ใช้มาสี่ปีแล้ว แต่จงใจไม่ดำเนินการใดๆ
บางคนพูดตรงๆ: ปัญหานี้ถูกรายงานเมื่อสี่ปีก่อน ขอโทษที ฉันไม่เชื่อสักคำที่คุณพูด
มีคนถาม Schoening โดยตรง: ปัญหานี้จะได้รับการจัดการเป็นลำดับความสำคัญและแก้ไขหรือไม่?
จนถึงเวลาที่เผยแพร่ ยังไม่มีคำตอบ
ควรทราบว่า คำตอบทั้งหมดข้างต้นมาจากการพูดส่วนตัวของพนักงานคนหนึ่งบนโซเชียลมีเดีย ไม่ใช่ประกาศด้านความปลอดภัยอย่างเป็นทางการของ Notion
แต่มันก็เป็นช่องทางอย่างเป็นทางการเพียงช่องทางเดียวในตอนนี้ ส่วน “กำลังศึกษาวิธีแก้ไข” นั้น ไม่มีกรอบเวลา
หากคุณกำลังใช้ Notion ทำหน้าเพจสาธารณะ ตอนนี้ก็ถึงเวลาที่ควรตรวจสอบ: หน้าเหล่านี้จำเป็นต้องเป็นสาธารณะจริงหรือไม่? ในรายชื่อผู้แก้ไข มีคนที่ไม่ควรถูกเปิดเผยหรือไม่?
ศูนย์ช่วยเหลือของ Notion จะไม่แสดงหน้าต่างป๊อปอัปให้คุณโดยอัตโนมัติ
อย่างไรก็ตาม ตอนนี้คุณทราบสถานการณ์นี้แล้ว
ข้อมูลอ้างอิง:
https://x.com/weezerOSINT/status/2045849358462222720?s=20
https://news.ycombinator.com/item?id=47827283
⚠️ หมายเหตุ: เนื้อหาได้รับการแปลโดย AI และตรวจสอบโดยมนุษย์ หากมีข้อผิดพลาดโปรดแจ้ง
☕ สนับสนุนค่ากาแฟทีมงาน
หากคุณชอบบทความนี้ สามารถสนับสนุนเราได้ผ่าน PromptPay
本文来自网络搜集,不代表คลื่นสร้างอนาคต立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/th/archives/34805