Toutes les pages Notion publiques exposent les adresses e-mail de tous les éditeurs

 (twitter.com/weezerOSINT)
11 points par GN⁺ 2026-04-20 | 3 commentaires | Partager sur WhatsApp
  • Sur les pages Notion publiques, les UUID des éditeurs sont exposés sans authentification, et une simple requête POST permet d’obtenir le nom, l’e-mail et la photo de profil
  • Sur les wikis ou documents d’entreprise publics, les adresses e-mail des employés ayant modifié la page peuvent apparaître telles quelles ; sur la page Notion Community, 12 e-mails sur 13 identifiants utilisateur ont ainsi été confirmés
  • Les tests ont mis en évidence des employés de Notion, des comptes de service comme svc-notion-prod@makenotion.com, ainsi que des sous-traitants externes, le tout accessible sans cookie, jeton ni procédure d’authentification
  • getLoginOptions peut lui aussi être appelé sans authentification, ce qui permet de distinguer pour chaque compte l’usage d’une connexion par mot de passe ou du SSO
  • Le problème n’a toujours pas été corrigé depuis son signalement en 2022, ce qui crée un risque élevé d’exposition de données personnelles pour les organisations utilisant largement des pages publiques

Méthode de reproduction et informations exposées

  • Dans les informations d’autorisation d’une page publique, l’API Notion renvoie les UUID des éditeurs, et ce processus ne nécessite aucune authentification
  • En ciblant la page Notion Community, 13 identifiants utilisateur ont été repérés dans les autorisations des blocs, puis envoyés à /api/v3/syncRecordValuesMain, ce qui a permis de récupérer 12 adresses e-mail
    • Parmi les résultats figuraient des employés de Notion, le compte de service de production svc-notion-prod@makenotion.com, ainsi que des sous-traitants externes
    • Tout cela a été obtenu à partir d’une seule page
  • La requête peut être effectuée sans cookie, sans jeton et sans procédure d’authentification

Impact et risques supplémentaires

  • Les pages Notion sont largement utilisées sous des formes variées : wiki d’entreprise, page de recrutement, documentation publique, guide d’onboarding, etc.
  • Une recherche site: notion.site permet de trouver des milliers de pages publiques
  • Pour chacune de ces pages publiques, un simple appel API non authentifié peut exposer l’adresse e-mail des éditeurs
  • Si un espace de travail enterprise de 500 employés partage une page publique, une seule requête peut suffire à obtenir 500 adresses e-mail professionnelles
  • Il n’y a aucun rate limiting, et le traitement peut se faire par lots de 50 personnes
  • getLoginOptions est lui aussi accessible sans authentification
  • En le combinant avec ces données, il devient possible de savoir si chaque compte utilise une connexion par mot de passe ou le SSO
  • Cette combinaison peut fournir une liste de cibles gratuite pour des attaques de credential stuffing
  • Le premier signalement a été déposé sur HackerOne le 28 juillet 2022
  • Près de quatre ans plus tard, le problème n’a toujours pas été corrigé
  • Le même problème a été redécouvert et signalé séparément, mais a été traité comme doublon
  • De nouveaux tests ont confirmé la présence du même endpoint, du même accès non authentifié et le maintien du renvoi des e-mails
  • HackerOne a classé le signalement comme informative ; selon la source originale, aucun CVE n’a été attribué et aucune prime de bug bounty n’a été versée
  • La situation est présentée comme une exposition de PII clients
  • Les équipes utilisant des pages Notion publiques doivent vérifier leurs paramètres de partage

À lire aussi

3 commentaires

 
cshj55 2026-04-20

Depuis Notion AI, j’ai l’impression de ne même plus savoir de quelle appli il s’agit…
Je ne savais pas non plus qu’un truc comme ça était arrivé
 
devsepnine 2026-04-21

Depuis que je suis passé de Notion à Obsidian, je n’ai plus vraiment l’occasion de l’utiliser, mais bon...
 
GN⁺ 2026-04-20
Avis sur Hacker News
  • J’ai vérifié que l’aide officielle indique bien que, lorsqu’on publie une page publique Notion sur le web, les noms, photos de profil et adresses e-mail des utilisateurs ayant contribué peuvent être inclus dans les métadonnées. Le plus problématique semblait être que cette exposition de PII soit enfouie comme une simple note
    • Le défaut en lui-même est déjà absurde, mais l’attitude consistant à le considérer comme by design paraît encore plus sidérante
    • En tant qu’utilisateur de Notion qui se sert aussi de pages publiques, j’ai trouvé que c’était vraiment une conception aberrante
    • Je me souvenais avoir vu quelque chose de similaire dans les flux RSS de certains CMS
  • Je suis Max de Notion, et même si ce problème est documenté et qu’un avertissement s’affiche lors de la publication, je pense que ce n’est pas suffisant. Nous étudions actuellement soit la suppression des données personnelles sur l’endpoint public, soit leur remplacement par un proxy d’e-mail comme pour les commits publics sur GitHub. Et contrairement à ce qu’il peut sembler, ce n’était pas une correction réglable en une minute
    • Cela dit, le fait que le problème existe depuis 4 ans paraît vraiment trop long
    • Je me demandais quel message d’avertissement s’affiche concrètement. Quand j’ai créé une page publique il y a un mois, je l’ai seulement compris comme un avertissement disant que le contenu de la page serait public, pas du tout que les e-mails des éditeurs le seraient aussi
    • Malgré tout, on peut se dire que Notion a déjà eu bien plus d’une minute pour corriger le problème
    • Tant que j’y suis, je voulais aussi demander pourquoi Notion est à ce point extrêmement lent sur Firefox
    • Le problème avait déjà été signalé en 2022, et vu qu’il ressemble clairement à un bug par nature, je ne pense pas qu’il soit excessif d’avoir cru qu’il serait corrigé depuis
  • Je n’avais pas utilisé Notion depuis un moment, et en y revenant j’ai eu l’impression que ce service que j’aurais autrefois pu recommander comme exemple d’hypertexte s’affichait maintenant avec des slogans du type AI workplace ou AI everything app, au point de sembler avoir complètement changé d’identité. Je me suis demandé ce qui s’était passé
    • Moi non plus je ne l’ai pas utilisé depuis des années, mais j’ai souvent vu la productivité chuter fortement chaque fois que, dans une entreprise, quelqu’un poussait fortement Notion et essayait de faire basculer toute l’équipe. On en est même arrivé à plaisanter en disant qu’envoyer quelqu’un chez un concurrent pour y faire adopter Notion relèverait du sabotage. Mon impression est que la courbe d’apprentissage est plus longue que prévu et que, si l’outil fait gagner du temps à une petite minorité de promoteurs — souvent côté PM ou opérations — il impose à la majorité une gestion centrée sur la lisibilité. En forçant un travail brouillon mais ancré dans le réel à entrer dans des tableaux propres et des vues bien rangées, on a l’impression qu’un état séduisant visuellement mais inexact se propage dans toute l’organisation
    • Notion se positionne déjà depuis plusieurs années comme une application intégrée pour le travail, et pour un produit qui réunit gestion de projet et documentation, l’arrivée de l’IA me paraît assez naturelle
    • De mon point de vue, Notion n’a pas perdu son sens “seulement maintenant” : ça a toujours été une application qui veut tout faire, et donc un outil dispersé et inefficace. Ajouter de l’IA par-dessus m’a semblé être la simple prolongation de cette logique
    • Je me demandais ce que signifiait exactement l’expression exemple d’hypertexte employée ici
    • Étant assez habitué à Unix, je suis plutôt satisfait de ne pas avoir à utiliser ce type de logiciel au quotidien
  • De mémoire, c’est un problème qui existe depuis au moins 5 ans. D’ailleurs, quelqu’un avait déjà utilisé ma page Notion par le passé pour lever mon anonymat
    • On en arrive à se demander s’il faut désormais faire de l’OPSEC en séparant ses comptes et en gérant soigneusement toutes ses traces pour préserver sa vie privée
  • Le timing était étrange. Je venais justement de demander à Claude de comparer Notion vs Obsidian, puis en passant sur HN je suis tombé immédiatement sur ce post, ce qui m’a bien fait sourire
    • Merci à tous pour les nombreuses recommandations, elles m’ont aidé. Mon usage n’était pas un graphe de connaissances personnel mais la construction d’une ADU, donc j’avais besoin d’un éventail assez large : gestion des tâches, tableau d’inspiration, tableau de coûts, liste de commandes et documentation. De ce point de vue, Notion semblait encore très puissant, tandis que des outils comme Logseq, Obsidian, Joplin, Trilium ou Craft paraissaient excellents dans leur domaine mais un peu insuffisants pour mes besoins. Anynote avait l’air correct mais sans client web, et Milanote semblait mieux adapté quand le tableau d’inspiration est central. Au final, sans ce problème, j’aurais toujours considéré Notion comme une option assez attrayante
    • Pour une base de connaissances personnelle, je recommanderais d’éviter les services propriétaires. J’aime bien Logseq, mais j’ai aussi de plus en plus peur qu’il ressemble à de l’abandonware
    • Mon projet hyperclast vaut aussi peut-être le détour. J’ai également préparé une page de comparaison avec Notion, Obsidian, etc.
    • J’utilise Outline en self-hosting. Il a peut-être moins des dernières fonctions IA, mais j’ai l’impression qu’il couvre presque tout ce qu’il faut comme alternative à Notion
    • J’ai migré d’Obsidian vers Joplin il y a quelques années, et j’en suis satisfait parce que c’est entièrement FOSS et que ça peut se synchroniser avec mon instance Nextcloud personnelle
  • Je pense que les grandes entreprises devraient prendre beaucoup plus au sérieux la sécurité et la vie privée de leurs utilisateurs comme de leurs employés
    • Peut-être qu’il faudrait aussi empêcher les conseils d’administration et les actionnaires des grandes entreprises de se cacher derrière des structures juridiques, et leur faire porter une responsabilité financière sur ce type de problème
    • À mon avis, les entreprises ne bougent que lorsqu’elles ont une raison de le faire. En fin de compte, il faut que les utilisateurs se soucient davantage de leur vie privée et soient prêts, si nécessaire, à changer de produit. Les reproches seuls ne font pas baisser le chiffre d’affaires, donc du point de vue de l’entreprise il n’y a pas grand-chose qui change
    • À l’avenir, j’imagine des cabinets de conseil vanter le nombre de vulnérabilités corrigées par million de tokens, et des équipes d’ingénierie subir une pression pour fusionner du code généré. Il y aura probablement aussi davantage de services de revue de PR de sécurité et d’audit de codebase très consommateurs de tokens, à la manière de Dependabot ou SonarQube, et ce domaine semble être un bon marché pour de petites équipes voulant construire rapidement de l’ARR
    • Au bout du compte, je pense que pour vraiment empêcher ce genre de problème, les électeurs doivent choisir des responsables politiques et des régulations capables de sanctionner concrètement les entreprises
    • En pratique, j’ai l’impression que les entreprises ne regardent que le profit. La motivation la plus forte semble être de générer des revenus le plus vite possible, faire un exit, puis passer à la startup suivante
  • J’ai déjà réfléchi à une architecture où le serveur ne stockerait presque pas de données utilisateur, et où chaque utilisateur conserverait ses propres données pour ne les matérialiser à la demande qu’en cas de besoin. Comme les fuites dues à l’erreur humaine sont difficiles à éviter, la solution la plus fondamentale me semblait être de moins stocker dès le départ. Mais il y avait beaucoup de difficultés : coût de combinaison des données de groupe, problèmes d’agrégation dus aux utilisateurs hors ligne, prévention du scraping côté client, contrôle des modifications de données non autorisées, etc. Par exemple, j’ai imaginé un modèle où chaque utilisateur HN aurait son propre sqlite et où le serveur irait chercher les messages chez chacun, mais si une seule personne est indisponible le résultat peut devenir incomplet, ce qui rend la chose difficilement réaliste
    • J’aime bien cette idée moi aussi, mais je pense qu’on finit facilement par revenir à une forme très proche du système actuel. Les utilisateurs ont plusieurs appareils, donc il faut au final un service de synchronisation, et quand cette complexité augmente, on finit à nouveau par la confier à un tiers, ce qui nous ramène au monde des connexions et de la gestion de données façon FB, Google ou Apple
  • J’utilise énormément Notion et j’ai même construit quelques intégrations ; globalement c’est une bonne application, son usage de l’IA est plutôt réussi et elle continue à s’améliorer. J’aimerais vraiment que ce problème soit corrigé, et j’ai aussi été content de voir que l’API s’est beaucoup améliorée récemment, au point de prendre désormais en charge les database views comme objets de première classe. J’ai encore quelques petits souhaits pour l’API publique
  • Le tweet est un texte de quelques mots à peine, donc je me suis demandé s’il fallait vraiment l’écrire avec un LLM
  • L’application macOS de Notion fait partie des pires logiciels que j’aie utilisés. J’ai l’impression qu’elle ignore presque toutes les conventions de design de la plateforme
    • J’aimerais vraiment que cette culture des applications web emballées disparaisse au plus vite. J’ai l’impression que beaucoup trop de services sabotent l’expérience utilisateur de cette façon
    • À peine une heure après l’installation, le service worker utilisait déjà 7 Go de disque, ce qui m’a surpris. Je n’avais presque rien téléversé, donc je ne comprends pas ce qui pouvait être autant mis en cache
    • Au fond, le fait que ce soit Electron explique tout
    • En réalité, ce n’est pas une vraie application macOS, mais plutôt un simple emballage d’application web