零权限扒出邮箱，Notion高危漏洞4年还未修，1亿用户隐私裸奔

新智元报道 编辑：元宇 【新智元导读】 你 以为分享的是工作文档，其实顺便给黑客发了一份精准的钓鱼通讯录。500强企业都在用的工具，安全性竟然全靠用户「自己看文档」？ 你以为公开的只是文档，实际上被公开的，是每一位员工的邮箱信息！ 不用登录，不用凭证，也不需要任何授权。只要一个POST请求，外部任何人就能直接拿到页面编辑者的姓名、邮箱和头像。 前几天，这条帖子在X上炸开了。 发帖人impulsive是一位独立安全研究员。 他选取了一个任何人都可访问的Notion公开页面。根据其说法，他从页面源码里提取了编辑者的用户ID，一共13个，请求无需任何认证。 随后，他向Notion的一个接口发了一个POST请求：不需要登录，不需要Cookie，也不需要任何权限。 接口最终返回了12个人的全名、邮箱和头像，其中既有 Notion 员工，也包括一个生产环境服务账号和一名外部承包商。 一个POST请求返回Notion员工全名、企业邮箱和头像，无需任何认证，来源：@weezerOSINT 全部信息都来自同一个公开页面、同一次请求，而且全程零认证。 随后，他又在X上发帖，完整展示了整个操作过程，他说道： 只要你公司的Notion页面是公开的，页面上每一位编辑者的邮箱，都可能被直接暴露出来。 更关键的是，这并不是什么高深的黑客技巧。 按照这位研究者的说法，通过搜索公开可访问的Notion页面，可以找到大量暴露在外的页面样本。 在这些公开页面中，部分页面的编辑者信息可能通过类似方式被进一步关联和查询。 他还提到，在某些场景下，如果一个大型企业工作区共享了公开页面，相关接口理论上可能一次返回更多企业邮箱；此外，该接口还疑似支持批量查询。 更离谱的是，这事Notion早就知道，早在2022年7月就有人通过HackerOne提交了邮箱隐私泄露的风险，将近四年也还未修复这个安全问题。 Notion全球用户超过1亿，超过半数财富500强企业在用。但这家估值110亿美元的公司，却仍让用户个人信息暴露在外。 帮助中心写了 但你看过帮助中心吗？ Notion帮助中心提到了，当你把Notion页面发布到网络时，你的姓名、头像和邮箱地址这些网页元数据，可能随之泄露。 但问题来了：你在Notion里点「Publish to web」的时候，有没有看到过任何弹窗告诉你「你的邮箱会被公开」？ 研究院impulsive在使用全新账号测试发布流程时，界面中并未看到任何有关邮箱暴露风险的明确警示。 用户只需点击「分享」和「发布」，随后看到预览页和发布按钮，整个流程中没有显著提示相关个人信息可能被接口获取。 把风险写在帮助中心第N页的某个注释里，和在你按下发布按钮时弹一个红色警告框，是两种完全不同的事情。 按照Notion官方隐私说明，电子邮箱地址属于账户信息；而在其公开页面帮助文档中，Notion又明确提示网页元数据可能包含贡献者邮箱。 这意味着，同一类信息一边被Notion归入账户信息与隐私政策框架，一边又可能在公开页面场景下进入可公开访问的网页元数据，二者之间存在难以回避的冲突。 真正需要追问的，不只是这些邮箱是否已被大规模利用，而是Notion为什么会把本应纳入隐私保护框架的信息，设计进公开页面的暴露链路中。 这事2022年就有人报了 这并不是新问题。 研究者impulsive在帖子里提到：最初的报告是2022年7月通过HackerOne提交的。 Notion当时把这份报告标记为「informative」。 在HackerOne的分类体系里，这意味着：我们知道了，但不认为这是一个需要修复的安全问题。 这份报告至今仍然公开可查（编号2853023），标题就叫「Information Disclosure」（信息泄露）。 https://hackerone.com/reports/2853023 摘要里写道： 在一次安全评估中，研究人员发现邮箱地址暴露在公开可访问的位置，用curl等标准工具即可获取，不需要认证，也不需要任何特殊权限。 从报告提交到现在，将近四年。 四年里，Notion做了很多事：推出了AI功能、发布了Notion Mail、估值到了110亿美元、用户从2000万涨到了1亿。 可这个接口，仍然照常工作。 研究者impulsive最近复测时发现，同一个接口、同样零认证，用户邮箱依旧可以被直接获取。 你以为分享的是文档 其实附赠了一份通讯录 很多人会觉得：我的公开页面上又没写什么机密，暴露就暴露呗。 但泄露的重点不在于页面正文，而是你的身份。 想象一个场景：你们公司用Notion做了一个公开的产品帮助文档。 十几个同事参与编辑过。现在，任何人都可以用一个POST请求，拿到这十几个人的全名、工作邮箱和头像。 拿到这些信息能干什么？ 发一封钓鱼邮件。 邮件里写着：「嗨，[你的真名]，我是[你同事的真名]，这个文档需要你重新审核一下，请点击这个链接。」 收件人看到同事的名字，看到自己确实编辑过那个文档，大概率就点了。 研究者impulsive还提到，可以通过另一个同样零认证的接口getLoginOptions，来判断一个邮箱是用密码登录还是SSO登录。 这意味着攻击者不仅能拿到你的邮箱，还能知道哪些账号可以直接用密码试着登录。 但即使不考虑这一点，光是「全名+企业邮箱+头像」这个组合，对定向钓鱼来说已经足够了。 你以为分享的是知识，其实你还附赠了一份团队花名册。 「我们做得不够好」 然后呢？ Notion员工Max Schoening在Hacker News上做了回应。 他主要说了两点。 第一，这个行为有文档记录，而且在用户发布页面时会有提醒； 第二，他们不喜欢这种现状，正在研究修复方案：要么从公开端点移除个人信息，要么像GitHub公共提交那样，用邮箱代理机制替代真实邮箱。 有人追问提醒长什么样。 Schoening贴出了一张截图：当用户开始向页面贡献内容时，会看到一条提示，大意是你的信息「可能变得可见」，他自己也觉得这样的提醒不够明显，会在接下来进行优化： 网友们对于这样的回应显然不买账。 有人说，这个警告过于模糊，「可能变得可见」听起来像Notion自己都不确定会不会暴露，完全是含糊其辞。 还有人指出，「任何能查看此页面的人」读起来像是「工作区里能看到这个页面的人」，根本不像是在说「互联网上的任何陌生人」。 Schoening说修复不是一分钟能搞定的事。底下立刻有人怼回去：Notion修复这个问题的时间肯定不止一分钟，你们已经有四年了。 有人更直接：考虑到这个问题早在2022年就被报告了，而且显然是个错误，要求它在现在这个时间点已经被修复，并不算过分。 Schoening对此回复了一句「同意，我们会做得更好。」 事实面前，这句承诺显然有些苍白。 一条高赞评论写道：你应该解释清楚为什么修不了，否则所有人的结论就是——你们明知四年来一直在泄露用户数据，却故意不采取任何措施。 有人干脆说道：这个问题四年前就被报告了，恕我不相信你说的任何一个字。 有人直接追问Schoening：这个问题会被优先处理并修复吗？ 截至发稿，没有回答。 要注意，以上所有回应都来自一个员工在社交媒体上的个人发言，不是Notion的正式安全公告。 但它已经是目