Vous utilisez Notion et vous avez l’habitude de publier des pages sur le web ? Vous devriez lire avec attention cet article. En effet, une simple page Notion publiée sur le web suffit à exposer les adresses e-mail, les noms complets et les photos de profil de tous les contributeurs, et ce, sans la moindre authentification. Un problème de sécurité qui n’est cependant pas nouveau.

Une fuite de données via les pages publiques Notion

L’application Notion est très utilisée, notamment par les entreprises, et elle peut notamment servir à mettre en place un wiki ou des pages de documentation. Le problème, c’est que sa façon de gérer les métadonnées sur les pages publiques ouvre la voie au scrapping de données.

Dans les faits, lorsqu’un utilisateur clique sur “Publier sur le web” dans Notion, cela revient à créer une sorte de site web avec les informations contenues sur la page. C’est une fonctionnalité très utilisée, néanmoins, le code source de la page accessible par n’importe quelle personne divulgue les UUID (Universal Unique Identifiers) des éditeurs au sein des données de permissions des blocs.

Un attaquant peut alors récupérer ces identifiants à l’aide d’une simple requête POST vers l’endpoint suivant de l’API : . En retour, le serveur livre des informations personnelles (PII) à propos des éditeurs : noms, adresses e-mail et images de profil. Les données sont exposées sans qu’il soit nécessaire d’avoir un cookie spécifique, un jeton d’accès ou une quelconque authentification.

En effectuant un scrapping sur un wiki d’entreprise complet, il est alors envisageable de récupérer une belle quantité d’informations relatives aux salariés, ou à minima, aux personnes ayant édité le site Notion.

Ce problème de confidentialité n’est pourtant pas nouveau. En effet, cette vulnérabilité avait été signalée à Notion via HackerOne dès juillet 2022. À l’époque, Notion avait classé ce rapport de sécurité comme “informatif” et n’avait pris aucune mesure pour sécuriser l’API.

Désormais, suite à de nouveaux posts sur X publiés par les chercheurs @k1rallik et @weezerOSINT, l’affaire revient sur le devant de la scène. “Chaque page Notion publique divulgue les adresses e-mail de tous ceux qui l’ont éditée. Zéro authentification. Pas de cookies. Pas de jetons. Une requête POST renvoie les noms complets, les e-mails et les photos de profil de chaque éditeur de la page. Le wiki de votre entreprise est public ? L’e-mail de chaque employé l’est…”, peut-on lire.

La nouvelle réaction de Notion…

Max Schoening, un employé de Notion, a affirmé que ce comportement était documenté et que les utilisateurs étaient avertis avant toute publication d’un site web via Notion. Toutefois, d’après les tests effectués par @weezerOSINT à partir d’un compte Notion créé pour l’occasion, la boîte de dialogue “Publier sur le web” n’affiche pas le moindre avertissement.

“Cela ne nous convient pas et nous cherchons actuellement des solutions pour y remédier, soit en supprimant les données à caractère personnel des points de terminaison publics, soit en les remplaçant par un proxy de messagerie similaire à la fonctionnalité équivalente proposée par GitHub pour les commits publics.”, a également précisé Max Schoening sur X.

Notion semble enfin prendre conscience qu’il est important de corriger ce comportement. En attendant, limitez le nombre d’éditeurs sur les pages qui doivent impérativement rester publiques afin de réduire la surface d’exposition. Ceci est d’autant plus important si vous avez activé l’indexation par les moteurs de recherche dans les options de publication.

Source