広く使用されている生産性とコラボレーションプラットフォームのNotionで、深刻なデータ漏洩の問題が発見され、数千人のユーザーと組織が危険にさらされる可能性があります。
セキュリティ研究者は、公開されたNotionページが、認証を必要とせずに、エディターの氏名、メールアドレス、プロフィール写真などの機密個人情報を無意識に暴露する可能性があることを明らかにしました。
この問題はNotionの「ウェブに公開」機能を使用して公開されたあらゆるページに影響します。これらのページは多くの場合、公開ドキュメント、企業ウィキ、ナレッジベースに使用されます。
しかし、研究者はそのようなページが簡単にスクレイピングされることができることを発見し、フィッシングやソーシャルエンジニアリング攻撃のためのデータを求める脅威アクターにとって貴重なターゲットになります。
X上で研究者によって共有された調査結果によると、この脆弱性は、Notionが公開共有ページのブロック権限をどのように管理しているかに由来しています。
ページが公開されると、プラットフォームはページソースに隠されたメタデータを暴露し、すべてのエディターの汎用一意識別子(UUID)が含まれます。
攻撃者はこれらのUUIDをページのソースコードから直接抽出できます。このデータを使用して、Notionの内部APIエンドポイントに単純なPOSTリクエストを送信できます:
これにより、攻撃者が公開されているNotionページ全体で大規模なデータ収集を自動化するのは簡単になります。
この脆弱性は新しいものではありません。2022年7月にHackerOneを通じて最初に報告されましたが、「情報」に分類され、すぐには修正されませんでした。
@weezerOSINTや@k1rallikなどの研究者がアクティブな悪用リスクを実証した後、問題が再浮上し、セキュリティコミュニティで広範な懸念が生じました。
Notionは、ユーザーがページを公開する際に潜在的な露出について警告されたと当初述べました。
しかし、研究者による最近のテストでは、公開インターフェースにそのような警告は表示されないことが示され、これらの主張と矛盾しています。
公的な批判を受けて、Notionは問題を認めました。企業代表のMax Schoeningは、現在の動作が受け入れられず、チームが積極的に解決策に取り組んでいることを確認しました。
Notion開発者は、公開API応答から個人識別情報を削除したり、GitHubのような電子メールマスキングシステムを導入したりするなどの修正を検討しています。
パッチがリリースされるまで、ユーザーと組織は即座の予防措置を講じることをお勧めします:
このインシデントは、特に攻撃者が誤設定されたAPIとメタデータリークをますます悪用している中、基盤となるデータフローを完全に理解せずにコラボレーションプラットフォームをパブリックインターネットに公開することのリスクを強調しています。
翻訳元: https://cyberpress.org/public-notion-pages-expose-profile-photos-and-email-addresses-of-editors/
