人気の高い生産性向上ツールおよびノートテイキングアプリケーションであるNotionに関する重大なデータ漏露の問題が明らかになりました。
この漏露は認証、クッキー、またはアクセストークンを必要とせずに発生し、数千の索引可能な企業ウィキと個人ページがデータスクレイピングの危険にさらされています。
公開向けドキュメント用にNotionを使用している組織にとって、これは従業員に対する標的型フィッシング攻撃の大きなリスクをもたらします。
セキュリティ研究者とユーザーは最近発見しました。公開されたNotionページは、それを編集したすべての人の氏名、メールアドレス、プロフィール写真を静かに公開しているということです。
データ漏露の仕組み
X上のセキュリティ研究者によると、この脆弱性は公開ページのブロック権限をNotionがどのように処理するかに由来しています。
ユーザーがページを作成して「Webに公開」をクリックすると、システムは意図せずしてエディターのユニバーサル一意識別子(UUID)を漏らします。
このデータ漏露の技術的な内訳は単純です:
- 公開ページのソースコードには、ブロック権限データ内のエディターUUIDが明らかに表示されます。
- 攻撃者はこれらのUUIDをスクレイピングして、/api/v3/syncRecordValuesMainエンドポイントに単一のPOSTリクエストを送信できます。
- この特定のAPIエンドポイントをクエリするには、認証やトークンが全く必要ありません。
- サーバーは、氏名、メールアドレス、プロフィール画像を含め、これらのエディターの完全な個人識別情報(PII)で応答します。
このプライバシーの欠陥は完全に新しいものではありません。この問題は当初2022年7月にHackerOneを経由してNotionに報告されました。
当時、同社はレポートを「情報提供」として分類し、エンドポイントにパッチを当てるための即座の行動はしませんでした。
@weezerOSINTや@k1rallikなどの研究者が最近Xでこの欠陥を実証したとき、論争が再燃し、公開ウィキを使用する企業の深刻なリスクが強調されました。
高まるコミュニティの反発に応じて、Notionの従業員Max Schoenigがオンラインで状況に対処しました。彼は当初、この動作は文書化されており、ユーザーは公開前に警告を受けていたと主張していました。
しかし、研究者は新規アカウントをテストしてこれを素早く否定し、「Webに公開」ダイアログはエディターのメールアドレスを公開することについて警告を提供しないことを明らかにしました。
Schoenigは現在の設定が受け入れられないことを認め、Notionがデータ漏露を解決するための解決策を積極的に検討していると述べました。
予定されている修正と軽減措置
Notionの開発者は現在、プラットフォームを保護するための2つの主な修正を探索しています。彼らは公開エンドポイントからPIIを完全に削除するか、GitHubのような電子メールプロキシシステムを実装するかのいずれかを計画しています。
公式パッチが展開されるまで、ユーザーと組織は自分たちのデータを保護するための即座の対策を講じる必要があります。
Notionユーザーの推奨アクションは以下の通りです:
- すべてのアクティブなNotionワークスペースを確認して、現在Webに公開されているページを特定します。
- 公開アクセスが厳密に必要とされない会社のウィキや機密文書の公開を解除します。
- 公開したままである必要があるページのエディター数を制限して、データ漏露のリスクを減らします。
- APIパッチと新しいプライバシーコントロールの更新について、公式のNotionセキュリティ勧告を監視します。
翻訳元: https://gbhackers.com/public-notion-pages-expose-editors-profile/
