Toutes les pages Notion publiques exposent les adresses e-mail de tous les éditeurs

• Sur les pages Notion publiques, les UUID des éditeurs sont exposés sans authentification, et une simple requête POST permet d’obtenir le nom, l’e-mail et la photo de profil
• Sur les wikis ou documents d’entreprise publics, les adresses e-mail des employés ayant modifié la page peuvent apparaître telles quelles ; sur la page Notion Community, 12 e-mails sur 13 identifiants utilisateur ont ainsi été confirmés
• Les tests ont mis en évidence des employés de Notion, des comptes de service comme svc-notion-prod@makenotion.com, ainsi que des sous-traitants externes, le tout accessible sans cookie, jeton ni procédure d’authentification
• getLoginOptions peut lui aussi être appelé sans authentification, ce qui permet de distinguer pour chaque compte l’usage d’une connexion par mot de passe ou du SSO
• Le problème n’a toujours pas été corrigé depuis son signalement en 2022, ce qui crée un risque élevé d’exposition de données personnelles pour les organisations utilisant largement des pages publiques

Méthode de reproduction et informations exposées

• Dans les informations d’autorisation d’une page publique, l’API Notion renvoie les UUID des éditeurs, et ce processus ne nécessite aucune authentification
• En ciblant la page Notion Community, 13 identifiants utilisateur ont été repérés dans les autorisations des blocs, puis envoyés à /api/v3/syncRecordValuesMain, ce qui a permis de récupérer 12 adresses e-mail
  • Parmi les résultats figuraient des employés de Notion, le compte de service de production svc-notion-prod@makenotion.com, ainsi que des sous-traitants externes
  • Tout cela a été obtenu à partir d’une seule page
• La requête peut être effectuée sans cookie, sans jeton et sans procédure d’authentification

Impact et risques supplémentaires

• Les pages Notion sont largement utilisées sous des formes variées : wiki d’entreprise, page de recrutement, documentation publique, guide d’onboarding, etc.
• Une recherche site: notion.site permet de trouver des milliers de pages publiques
• Pour chacune de ces pages publiques, un simple appel API non authentifié peut exposer l’adresse e-mail des éditeurs
• Si un espace de travail enterprise de 500 employés partage une page publique, une seule requête peut suffire à obtenir 500 adresses e-mail professionnelles
• Il n’y a aucun rate limiting, et le traitement peut se faire par lots de 50 personnes
• getLoginOptions est lui aussi accessible sans authentification
• En le combinant avec ces données, il devient possible de savoir si chaque compte utilise une connexion par mot de passe ou le SSO
• Cette combinaison peut fournir une liste de cibles gratuite pour des attaques de credential stuffing
• Le premier signalement a été déposé sur HackerOne le 28 juillet 2022
• Près de quatre ans plus tard, le problème n’a toujours pas été corrigé
• Le même problème a été redécouvert et signalé séparément, mais a été traité comme doublon
• De nouveaux tests ont confirmé la présence du même endpoint, du même accès non authentifié et le maintien du renvoi des e-mails
• HackerOne a classé le signalement comme informative ; selon la source originale, aucun CVE n’a été attribué et aucune prime de bug bounty n’a été versée
• La situation est présentée comme une exposition de PII clients
• Les équipes utilisant des pages Notion publiques doivent vérifier leurs paramètres de partage