Alle öffentlichen Notion-Seiten legen die E-Mail-Adressen aller Bearbeitenden offen

 (twitter.com/weezerOSINT)
11 Punkte von GN⁺ 10 일 전 | 3 Kommentare | Auf WhatsApp teilen
  • Bei öffentlichen Notion-Seiten werden Editor-UUIDs ohne Authentifizierung offengelegt; mit einer einzigen POST-Anfrage lassen sich Name, E-Mail-Adresse und Profilbild abrufen
  • Bei öffentlich zugänglichen Firmen-Wikis oder Dokumenten können die E-Mail-Adressen von Mitarbeitenden, die diese Seite bearbeitet haben, direkt offengelegt werden; selbst auf der Notion-Community-Seite ließen sich 12 E-Mails von 13 Benutzer-IDs verifizieren
  • Im Test waren Notion-Mitarbeitende, Service-Accounts wie svc-notion-prod@makenotion.com sowie externe Auftragnehmende enthalten; abrufbar ganz ohne Cookies, Tokens oder Authentifizierungsverfahren
  • getLoginOptions lässt sich ebenfalls ohne Authentifizierung aufrufen, wodurch sich unterscheiden lässt, ob ein Konto Passwort-Login verwendet oder SSO nutzt
  • Das Problem ist seit der Meldung im Jahr 2022 nicht behoben; für Organisationen, die öffentliche Seiten breit einsetzen, besteht damit ein hohes Risiko der PII-Offenlegung

Reproduktionsweg und offengelegte Informationen

  • In den Berechtigungsinformationen einer öffentlichen Seite gibt die Notion-API die UUIDs der Bearbeitenden zurück, und dafür ist keine Authentifizierung erforderlich
  • Auf einer Notion-Community-Seite wurden in den Block-Berechtigungen 13 Benutzer-IDs gefunden; durch Übergabe an /api/v3/syncRecordValuesMain konnten 12 E-Mail-Adressen ermittelt werden
    • Zu den zurückgegebenen Datensätzen gehörten Notion-Mitarbeitende, der Production-Service-Account svc-notion-prod@makenotion.com sowie externe Auftragnehmende
    • All das wurde allein über eine einzige Seite festgestellt
  • Die Anfrage ist ohne separate Cookies, Tokens oder Authentifizierungsschritte möglich

Auswirkungen und zusätzliche Risiken

  • Notion-Seiten werden breit genutzt, etwa als Firmen-Wiki, Stellenbörse, öffentliche Dokumentation oder Onboarding-Guide
  • Mit site: notion.site lassen sich Tausende öffentliche Seiten finden
  • Für jede dieser öffentlichen Seiten können mit einem einzigen API-Aufruf ohne Authentifizierung die E-Mail-Adressen der Bearbeitenden offengelegt werden
  • Wenn ein Enterprise-Workspace mit 500 Mitarbeitenden eine öffentliche Seite teilt, lassen sich mit einer einzigen Anfrage 500 Firmen-E-Mail-Adressen abrufen
  • Es gibt kein Rate Limiting, und eine Batch-Verarbeitung von 50 Personen gleichzeitig ist möglich
  • Auch getLoginOptions kann ohne Authentifizierung aufgerufen werden
  • In Kombination lässt sich damit unterscheiden, ob ein Konto Passwort-Login oder SSO verwendet
  • Diese Kombination kann zu einer kostenlosen Zielliste für Credential Stuffing werden
  • Die erste Meldung wurde am 28. Juli 2022 bei HackerOne eingereicht
  • Seitdem wurde das Problem fast vier Jahre lang nicht behoben
  • Dasselbe Problem wurde später erneut entdeckt und gemeldet, aber als Duplikat behandelt
  • Ein erneuter Test zeigte weiterhin denselben Endpunkt, denselben unauthentifizierten Zustand und die weiterhin erfolgende Rückgabe von E-Mail-Adressen
  • HackerOne stufte die Meldung als informative ein; laut Originaltext gibt es keine CVE-Vergabe und keine Bug-Bounty-Prämie
  • Der Zustand wird als Offenlegung von Kunden-PII eingeordnet
  • Teams, die öffentliche Notion-Seiten verwenden, sollten ihre Freigabeeinstellungen prüfen

Verwandte Beiträge

3 Kommentare

 
cshj55 9 일 전

Seit Notion AI ist es einfach … ich weiß nicht einmal mehr, was das eigentlich für eine App ist.
So etwas ist also auch passiert.
 
devsepnine 9 일 전

Seit ich von Notion zu Obsidian gewechselt bin, nutze ich es allerdings nicht mehr..
 
GN⁺ 10 일 전
Hacker-News-Kommentare
  • Ich habe nachgesehen und bestätigt, dass in der offiziellen Hilfe steht, dass beim Veröffentlichen einer öffentlichen Notion-Seite im Web Name, Profilbild und E-Mail-Adresse der beitragenden Nutzer in den Metadaten enthalten sein können. Noch problematischer wirkte, dass diese PII-Offenlegung fast wie eine Randnotiz versteckt war
    • Schon dieser Fehler an sich ist absurd, aber noch absurder wirkte die Haltung, ihn fast als by design hinzunehmen
    • Auch aus meiner Sicht als Notion-Nutzer öffentlicher Seiten ist das ein wirklich unsinniges Design
    • Ich erinnere mich, etwas Ähnliches auch schon bei den RSS-Feeds mancher CMS gesehen zu haben
  • Ich bin Max von Notion, und dieses Problem ist dokumentiert, außerdem gibt es beim Veröffentlichen eine Warnung, aber ich halte das allein nicht für ausreichend. Wir prüfen derzeit, ob wir am öffentlichen Endpoint personenbezogene Daten entfernen oder sie wie bei öffentlichen GitHub-Commits durch einen E-Mail-Proxy ersetzen können. Und anders als es aussieht, war das keine Änderung, die in einer Minute erledigt gewesen wäre
    • Trotzdem wirken 4 Jahre seit Auftauchen des Themas viel zu lang
    • Mich würde interessieren, welche Warnmeldung tatsächlich angezeigt wird. Als ich vor einem Monat eine öffentliche Seite erstellt habe, habe ich das nur so verstanden, dass der Seiteninhalt öffentlich wird, aber überhaupt nicht so, dass auch E-Mail-Adressen der Bearbeiter offengelegt werden
    • Trotzdem denke ich, dass Notion inzwischen durchaus mehr als 1 Minute Zeit dafür hatte
    • Wenn wir schon dabei sind: Ich würde auch gern wissen, warum Notion in Firefox besonders extrem langsam ist
    • Da es bereits 2022 gemeldet wurde und seinem Charakter nach wie ein offensichtlicher Fehler wirkt, halte ich die Erwartung, dass es inzwischen behoben sein sollte, nicht für überzogen
  • Ich hatte Notion eine Zeit lang nicht benutzt und dann wieder angesehen. Früher hätte ich es vielleicht als Beispiel für Hypertext empfohlen, aber inzwischen wirbt der Dienst mit Formulierungen wie AI workplace oder AI everything app, was sich nach einer völlig veränderten Identität anfühlt. Ich fragte mich, was da eigentlich passiert ist
    • Ich habe es auch ein paar Jahre nicht benutzt, aber ich habe oft gesehen, dass in verschiedenen Firmen jemand Notion stark gepusht und einen Teamwechsel vorangetrieben hat, woraufhin die Geschwindigkeit der Arbeit eher deutlich sank. Es gab sogar den Scherz, man könne Leute zur Konkurrenz schicken, um dort eine Notion-Einführung durchzusetzen und so Sabotage zu betreiben. Mein Eindruck ist, dass die Lernkurve länger ist als erwartet und dass es einer kleinen Zahl von Antreibern — meist PMs oder Leute aus dem operativen Bereich — Zeit spart, der Mehrheit aber lesbarkeitsorientierte Verwaltung aufzwingt. Wenn man chaotische, aber realitätsnahe Arbeit gewaltsam in saubere Tabellen und aufgeräumte Ansichten presst, verbreitet sich organisationweit ein Zustand, der zwar gut aussieht, aber ungenau ist
    • Notion positioniert sich schon seit Jahren als integrierte Arbeits-App, und bei einem Produkt, das Projektmanagement und Dokumentation zusammenbringt, wirkt der Einbau von AI für mich nur folgerichtig
    • Für mich hat Notion nicht „erst jetzt“ an Bedeutung verloren, sondern war schon immer eine App, die alles machen will, und dadurch ein zerstreutes und ineffizientes Werkzeug. Dass jetzt noch AI obendrauf kommt, wirkt für mich wie die Fortsetzung davon
    • Ich frage mich, was mit der Formulierung Beispiel für Hypertext hier genau gemeint ist
    • Ich bin an Unix gewöhnt, und ich finde es eher angenehm, dass ich solche Software im Alltag gar nicht erst benutzen muss
  • Soweit ich mich erinnere, ist das Problem mindestens 5 Jahre alt. Tatsächlich hat früher schon einmal jemand über meine Notion-Seite meine Anonymität aufgehoben
    • Inzwischen frage ich mich, ob man die Privatsphäre nur noch mit einer Art OPSEC schützen kann, also durch getrennte Konten und konsequentes Spurenmanagement
  • Das Timing war kurios. Ich hatte gerade Claude einen Vergleich Notion vs Obsidian machen lassen und bin dann zu HN gewechselt, wo mir sofort dieser Beitrag angezeigt wurde, was ich ziemlich passend fand
    • Danke für die vielen Empfehlungen, das war hilfreich. Mein Anwendungsfall ist kein persönlicher Wissensgraph, sondern Arbeit rund um den Bau einer ADU, daher brauche ich ein breites Spektrum aus Aufgabenverwaltung, Inspirationsboards, Kostentabellen, Bestelllisten und Dokumenten. In dieser Hinsicht wirkte Notion weiterhin ziemlich leistungsfähig, während Tools wie Logseq, Obsidian, Joplin, Trilium oder Craft in ihrem jeweiligen Bereich gut sind, für meine Anforderungen aber etwas zu kurz greifen. Anynote sah ordentlich aus, hat aber keinen Web-Client, und Milanote wirkte passender, wenn Inspirationsboards im Vordergrund stehen. Deshalb blieb bei mir der Eindruck, dass Notion ohne dieses Thema durchaus eine attraktive Option gewesen wäre
    • Für ein persönliches Wissens-Repository würde ich von proprietären Diensten abraten. Ich mag Logseq, mache mir aber zunehmend Sorgen, dass es wie abandonware wirkt
    • Mein eigenes Projekt hyperclast ist vielleicht auch einen Blick wert. Ich habe auch eine eigene Vergleichsseite mit Notion, Obsidian usw.
    • Ich nutze Outline per Self-Hosting. Auch wenn die neuesten AI-Funktionen vielleicht schwächer sind, hat es für eine Notion-Alternative fast alles, was ich brauche
    • Ich bin vor ein paar Jahren von Obsidian zu Joplin gewechselt und bin zufrieden, weil es vollständig FOSS ist und sich mit meiner persönlichen Nextcloud-Instanz synchronisieren lässt
  • Ich finde, große Unternehmen sollten die Sicherheit und Privatsphäre von Nutzern und Mitarbeitern ernster nehmen
    • Vielleicht sollte man auch Vorstände und Aktionäre großer Unternehmen daran hindern, sich hinter rechtlichen Konstruktionen zu verstecken, und sie für solche Probleme finanziell haftbar machen
    • Unternehmen bewegen sich meiner Meinung nach nur, wenn es einen Grund dafür gibt. Letztlich müssen Nutzer ihre Privatsphäre ernster nehmen und bereit sein, notfalls das Produkt zu wechseln. Allein durch Vorwürfe brechen die Umsätze nicht ein, also ändert sich aus Sicht der Firmen wenig
    • Künftig werden Beratungsfirmen wahrscheinlich damit werben, wie viele Schwachstellenbehebungen pro Million Token möglich sind, und Engineering-Teams werden unter Druck geraten, generierten Code zu mergen. Es dürfte auch mehr Dienste für Security-PR-Reviews und Codebase-Audits geben, die viele Tokens verbrauchen, ähnlich wie Dependabot oder SonarQube, und dieser Bereich wirkt wie ein Markt, in dem kleine Teams schnell ARR aufbauen können
    • Am Ende denke ich, dass Wähler Politiker und Regulierungen wählen müssen, die Unternehmen bei solchen Dingen auch tatsächlich wirksam bestrafen können
    • Realistisch betrachtet achten Unternehmen nur auf den Profit. Der Anreiz, möglichst schnell Einnahmen zu erzielen, einen Exit hinzulegen und zum nächsten Venture weiterzuziehen, wirkt deutlich stärker
  • Ich habe schon einmal über eine Architektur nachgedacht, bei der der Server fast keine Nutzerdaten speichert und jeder Nutzer seine Daten selbst hält, die nur bei Bedarf on demand materialisiert werden. Lecks durch menschliche Fehler lassen sich schwer ganz vermeiden, daher erscheint mir der grundlegendste Ansatz, von Anfang an weniger zu speichern. Allerdings gäbe es viele schwierige Probleme: die Kosten für das Zusammenführen von Gruppendaten, Aggregationsprobleme durch offline befindliche Nutzer, Schutz vor Client-Scraping und die Kontrolle unzulässiger Datenänderungen. Ich habe mir zum Beispiel auch ein Modell vorgestellt, in dem jeder HN-Nutzer seine eigene sqlite-Datei hat und der Server Beiträge jeweils von dort holt, aber wenn nur eine Person nicht verfügbar ist, fehlen Ergebnisse, was praktisch sehr schwer umsetzbar wirkt
    • Ich mag die Idee auch, glaube aber, dass man am Ende leicht wieder bei etwas landet, das dem heutigen System ähnelt. Nutzer verwenden mehrere Geräte, also braucht man am Ende doch wieder einen Synchronisierungsdienst, und wenn diese Komplexität wächst, wird sie wieder an Dritte ausgelagert, womit man zurück in der Welt von FB-, Google- oder Apple-artigen Logins und Datenverwaltung ist
  • Ich nutze Notion wirklich viel und habe auch einige Integrationen gebaut. Insgesamt ist es eine gute App, nutzt AI ordentlich und wird laufend verbessert. Dieses Problem sollte unbedingt behoben werden, und ich fand es erfreulich, dass die API zuletzt deutlich besser geworden ist und database views nun als erstklassige Objekte unterstützt. Bei der öffentlichen API habe ich aber noch ein paar kleinere Wünsche
  • Der Tweet war nur ein paar Sätze lang; ich fragte mich, ob man selbst so etwas unbedingt mit einem LLM schreiben muss
  • Die macOS-App von Notion gehört zu der schlechtesten Software, die ich je benutzt habe. Es wirkte, als ignoriere sie fast alle Designkonventionen der Plattform
    • Ich hoffe, dass diese Kultur der Web-Wrapper-Apps möglichst bald verschwindet. Ich habe das Gefühl, dass zu viele Dienste auf diese Weise die Nutzererfahrung ruinieren
    • Ich war überrascht, dass der Service Worker schon nach etwa einer Stunde Installation 7 GB Speicherplatz belegte. Ich hatte kaum Dateien hochgeladen und fragte mich, was da überhaupt so stark gecacht wird
    • Letztlich hatte ich das Gefühl, dass Electron schon alles erklärt
    • Eigentlich ist das keine echte macOS-App, sondern eher nur eine verpackte Web-App