Tüm herkese açık Notion sayfaları, tüm editörlerin e-posta adreslerini ifşa ediyor

 (twitter.com/weezerOSINT)
11 puan yazan GN⁺ 10 일 전 | 3 yorum | WhatsApp'ta paylaş
  • Herkese açık Notion sayfalarında editör UUID’leri kimlik doğrulaması olmadan açığa çıkıyor ve tek bir POST isteğiyle isim, e-posta ve profil fotoğrafı alınabiliyor
  • Herkese açık şirket vikileri veya belgelerde, o sayfayı düzenleyen çalışanların e-posta adresleri doğrudan ortaya çıkabiliyor; Notion Community sayfasında da 13 kullanıcı kimliğinden 12 e-posta doğrulandı
  • Testlerde Notion çalışanları, svc-notion-prod@makenotion.com gibi service account’lar ve harici yükleniciler yer aldı; ayrıca bunlara çerez, token veya kimlik doğrulama adımı olmadan erişilebildi
  • getLoginOptions da kimlik doğrulaması olmadan çağrılabildiği için her hesabın parola ile giriş kullanıp kullanmadığı ve SSO kullanıp kullanmadığı ayırt edilebiliyor
  • Bu sorun, 2022’de bildirilmiş olmasına rağmen hâlâ düzeltilmedi; herkese açık sayfaları yaygın kullanan kuruluşlarda PII ifşa riski yüksek durumda

Yeniden üretim yöntemi ve açığa çıkan bilgiler

  • Herkese açık bir sayfanın izin bilgisinde Notion API, editör UUID’lerini döndürüyor ve bu süreçte kimlik doğrulaması gerekmiyor
  • Notion Community sayfasında blok izinlerinden 13 kullanıcı kimliği tespit edildi ve bunlar /api/v3/syncRecordValuesMain endpoint’ine iletilerek 12 e-posta adresi elde edildi
    • Dönen veriler arasında Notion çalışanları, svc-notion-prod@makenotion.com adlı production service account ve harici yükleniciler vardı
    • Bunların tamamı yalnızca tek bir sayfa üzerinden doğrulandı
  • İstekler ayrıca çerez, token veya kimlik doğrulama adımı olmadan yapılabiliyor

Etki ve ek riskler

  • Notion sayfaları şirket vikileri, iş ilanı panoları, herkese açık belgeler, onboarding kılavuzları gibi çok farklı biçimlerde yaygın olarak kullanılıyor
  • site: notion.site aramasıyla binlerce herkese açık sayfa bulunabiliyor
  • Bu herkese açık sayfaların her birinde, kimlik doğrulaması gerektirmeyen tek bir API çağrısıyla editör e-posta adresleri ifşa edilebiliyor
  • 500 çalışanlı bir enterprise workspace, herkese açık bir sayfa paylaşıyorsa tek bir istekle 500 kurumsal e-posta adresi elde edilebiliyor
  • Rate limiting yok ve aynı anda 50 kişi toplu işlenebiliyor
  • getLoginOptions da kimlik doğrulaması olmadan çağrılabiliyor
  • Bu bilgi birlikte kullanıldığında, her hesabın parola ile giriş mi yoksa SSO mu kullandığı ayırt edilebiliyor
  • Bu kombinasyon, credential stuffing için ücretsiz bir hedef listesine dönüşebilir
  • İlk bildirim 28 Temmuz 2022 tarihinde HackerOne’a yapıldı
  • Buna rağmen sorun yaklaşık 4 yıla yakın süredir düzeltilmedi
  • Aynı sorun ayrıca yeniden bulunup raporlandı ancak mükerrer olarak işlendi
  • Yapılan tekrar testlerinde de aynı endpoint, kimlik doğrulaması olmayan durum ve e-posta döndürme davranışı korunuyordu
  • HackerOne bu bildirimi informative olarak sınıflandırdı; özgün metne göre CVE verilmedi ve bug bounty ödenmedi
  • Durum, müşteri PII ifşası olarak tanımlanıyor
  • Herkese açık Notion sayfaları kullanan ekiplerin paylaşım ayarlarını gözden geçirmesi gerekiyor

İlgili okumalar

3 yorum

 
cshj55 10 일 전

Notion AI'dan sonra zaten... ne tür bir uygulama olduğu bile belirsizleşmişti.
Demek ki böyle bir olay da yaşanmış.
 
devsepnine 9 일 전

Notion'dan Obsidian'a geçtikten sonra artık kullanmıyorum ama..
 
GN⁺ 10 일 전
Hacker News görüşleri
  • Notion’da herkese açık bir sayfa web’de yayımlandığında, katkıda bulunan kullanıcıların adları, profil fotoğrafları ve e-posta adreslerinin meta verilere dahil olabileceğinin resmi yardım sayfasında yazdığını doğruladım. Bu tür bir PII ifşasının dipnot gibi gömülü olması daha da büyük bir sorun gibi göründü
    • Kusurun kendisi zaten saçma ama bunun neredeyse by design gibi kabul edilmesi daha da akıl almaz geldi
    • Ben de herkese açık sayfa kullanan bir Notion kullanıcısı olarak bunun gerçekten mantıksız bir tasarım olduğunu düşündüm
    • Benzer bir şeyi bazı CMS’lerin RSS feed’lerinde de gördüğümü hatırlıyorum
  • Ben Notion’dan Max; bu konu belgelenmiş durumda ve yayımlama sırasında uyarı da veriyoruz ama bunun tek başına yeterli olmadığını düşünüyorum. Şu anda herkese açık uç noktada kişisel verileri kaldırma ya da GitHub’daki herkese açık commit’lerde olduğu gibi e-posta proxy’si ile değiştirme seçeneklerini değerlendiriyoruz. Ayrıca göründüğünün aksine bu 1 dakikada bitecek bir düzeltme değildi
    • Yine de konunun ortaya çıkmasının üzerinden 4 yıl geçmiş olması fazla uzun geldi
    • Gerçekte hangi uyarı metninin göründüğünü merak ettim. Bir ay önce herkese açık bir sayfa oluşturduğumda bunu sadece sayfa içeriğinin görünür olacağı şeklinde okumuştum; editör e-postalarının da ifşa edileceği anlamını hiç çıkarmamıştım
    • Yine de Notion’ın zaten 1 dakikadan fazla zamanı olmamış mıydı diye düşünmeden edemiyorum
    • Madem buradayım, Firefox’ta Notion’ın neden özellikle aşırı yavaş olduğunu da sormak isterim
    • Bunun 2022’de zaten bildirildiğini ve niteliği gereği bariz bir hata gibi göründüğünü düşününce, şimdiye kadar düzeltilmiş olmasını beklemenin aşırı bir tepki olmadığını düşünüyorum
  • Bir süredir Notion kullanmıyordum, tekrar bakınca eskiden bir hiper metin örneği olarak önerebileceğim bir hizmetin artık AI workplace ya da AI everything app gibi ifadeleri öne çıkardığını gördüm; sanki kimliği tamamen değişmiş. Ne oldu acaba diye düşündüm
    • Ben de birkaç yıldır kullanmıyorum ama çeşitli şirketlerde biri Notion’ı güçlü biçimde savunup ekibin geçişini zorladığında, bunun sık sık hızı ciddi biçimde düşürdüğünü gördüm. Hatta şaka yollu rakip firmalara birini gönderip Notion benimsetmenin sabotaj sayılabileceği bile söylenirdi. Benim izlenimime göre öğrenme eğrisi beklenenden uzun ve küçük bir destekçi gruba — çoğunlukla PM ya da operasyon tarafına — zaman kazandırırken çoğunluğa okunabilirlik odaklı yönetim dayatıyordu. Dağınık ama gerçeği yansıtan işi temiz tablolar ve düzenli görünümlere zorla uydurmaya çalışınca, güzel görünen ama hatalı bir durum algısı tüm organizasyona yayılıyor gibi oluyordu
    • Notion zaten birkaç yıldır kendini iş için birleşik uygulama olarak konumlandırıyor ve proje yönetimi ile dokümantasyonu birleştiren bir ürün için yapay zekanın eklenmesi de bana doğal geliyor
    • Bana göre Notion “artık” anlamını yitirmedi; baştan beri her şeyi yapmaya çalışan uygulamaydı ve bu yüzden dağınık ve verimsiz bir araçtı. Yapay zekanın eklenmesi de bunun devamı gibi geldi
    • Burada sözü edilen hypertext örneği ifadesiyle tam olarak ne kastedildiğini merak ettim
    • Ben Unix’e alışkın biriyim; bu tür yazılımları günlük hayatta kullanmak zorunda olmamak bana daha tatmin edici geliyor
  • Bu sorunun en az 5 yıldan uzun süredir var olduğunu hatırlıyorum. Hatta geçmişte biri benim Notion sayfamı görüp anonimliğimi bozmuştu
    • Görünüşe bakılırsa mahremiyeti korumak için artık gerçekten OPSEC düzeyinde hesap ayırma ve iz yönetimi yapmak gerekiyor
  • Zamanlaması ilginçti. Az önce Claude’a Notion vs Obsidian karşılaştırması yaptırmıştım, sonra HN’ye geçince bu gönderiyi hemen görmek hoş bir tesadüf oldu
    • Herkesin önerileri çok yardımcı oldu. Benim kullanım senaryom kişisel bir bilgi grafiği değil, bir ADU inşa etmekti; bu yüzden görev yönetimi, ilham panoları, maliyet tabloları, sipariş listeleri ve belgeler dahil geniş bir yelpazeye ihtiyacım vardı. Bu açıdan Notion hâlâ oldukça güçlü görünüyordu; Logseq, Obsidian, Joplin, Trilium ve Craft gibi araçlar kendi alanlarında iyi olsalar da benim ihtiyaçlarım için biraz eksik kaldı. Anynote fena görünmüyordu ama web istemcisi yoktu; Milanote ise ilham panosu ağırlıklı kullanım için daha uygun gibiydi. Sonuç olarak, bu son mesele olmasaydı Notion hâlâ oldukça çekici bir seçenek olurdu diye düşünüyorum
    • Kişisel bilgi deposu için tescilli hizmetlerden uzak durulması gerektiğini söylemek isterim. Ben Logseq’i seviyorum ama giderek abandonware’e dönüştüğüne dair endişelerim var
    • Kendi projem olan hyperclast'a da göz atabilirsiniz. Notion, Obsidian vb. ile karşılaştırma sayfasını ayrıca hazırladım
    • Ben Outlineself-hosting ile kullanıyorum. En yeni yapay zeka özellikleri daha zayıf olabilir ama Notion alternatifi olarak ihtiyaç duyduğum neredeyse her şeyi sunuyor
    • Ben birkaç yıl önce Obsidian’dan Joplin’e geçtim; tamamen FOSS olması ve kişisel Nextcloud örneğimle senkronize olabilmesi beni memnun etti
  • Büyük şirketlerin kullanıcılarının ve çalışanlarının güvenlik ve mahremiyetini daha ciddiye alması gerektiğini düşünüyorum
    • Belki de büyük şirketlerin yönetim kurulları ve hissedarları da hukuki yapıların arkasına saklanamamalı, bu tür sorunlarda mali sorumluluk taşımak zorunda kalmalı
    • Bence şirketler ancak bir sebep olduğunda hareket ediyor. Sonuçta kullanıcıların kendi mahremiyetlerine daha çok önem vermesi ve gerekirse ürün değiştirmeye istekli olması gerekiyor. Sadece kınamayla gelirler sarsılmadığı için şirket açısından pek bir şey değişmiyor
    • Yakında danışmanlık şirketlerinin milyon token başına kaç güvenlik açığı düzeltmesi yapılabildiğini pazarlayacağını, mühendislik ekiplerinin de üretilmiş kodu merge etme baskısıyla karşılaşacağını düşünüyorum. Dependabot ya da SonarQube gibi çok token tüketen güvenlik PR incelemesi ve kod tabanı denetim hizmetleri de artacaktır; bu alan küçük ekiplerin hızlıca ARR oluşturabileceği bir pazar gibi görünüyor
    • Sonuçta bu tür sorunları gerçekten önlemek için, şirketleri fiilen cezalandıracak siyasetçileri ve düzenlemeleri seçmenlerin desteklemesi gerektiğini düşünüyorum
    • Gerçekte şirketlerin tek baktığı şeyin kâr olduğunu düşünüyorum. Mümkün olduğunca hızlı gelir yaratıp exit yapmak ve ardından bir sonraki girişime geçmek çok daha güçlü bir motivasyon gibi görünüyor
  • Hiç değilse sunucunun kullanıcı verilerini neredeyse hiç saklamadığı, her kullanıcının kendi verisini elinde tuttuğu ve yalnızca gerektiğinde on-demand materialize ettiği bir yapı üzerine düşündüm. İnsan hatasından kaynaklı sızıntıları önlemek zor olduğu için en temel çözümün başından daha az veri tutmak olduğunu hissediyorum. Ama grup verisini birleştirme maliyeti, çevrimdışı kullanıcıların yol açtığı toplulaştırma sorunları, istemci scraping’ini önleme ve yetkisiz veri değişikliklerini kontrol etme gibi pek çok zor problem var. Örneğin HN’de her kullanıcı için bir sqlite tutup sunucunun yazıları tek tek onlardan aldığı bir modeli de hayal ettim ama tek bir kişinin bile erişilemez olması sonucu eksik bırakabileceğinden pratikte oldukça zor görünüyor
    • Ben de bu fikri seviyorum ama sonuçta yine bugünkü sisteme benzeyen bir noktaya dönmesinin kolay olduğunu düşünüyorum. Kullanıcılar birden fazla cihaz kullandığı için sonunda bir senkronizasyon hizmeti gerekiyor; bu karmaşıklık büyüdükçe de tekrar üçüncü taraflara emanet edilip FB, Google ve Apple tarzı giriş ve veri yönetimi dünyasına geri dönülüyor
  • Notion’ı gerçekten çok kullanıyorum ve birkaç entegrasyon da geliştirdim; genel olarak iyi bir uygulama olduğunu, yapay zeka kullanımının da başarılı olduğunu ve sürekli geliştiğini düşünüyorum. Bu sorunun kesinlikle düzeltilmesini isterim; son dönemde API’nin epey iyileşip database views için de birinci sınıf nesne desteği sunması sevindiriciydi. Herkese açık API için hâlâ birkaç küçük isteğim daha var
  • Tweet sadece birkaç cümlelik kısa bir metin; bunun için bile ille de LLM kullanmak mı gerekiyordu diye düşündüm
  • Notion’ın macOS uygulaması, kullandığım yazılımlar arasında en kötüleri arasında yer alıyor. Platformun tasarım alışkanlıklarını neredeyse tamamen yok sayıyor gibi
    • Bu tür web wrapper uygulama kültürünün bir an önce yok olmasını isterim. Çok fazla hizmet bu yöntemle kullanıcı deneyimini mahvediyor
    • Kurduktan yaklaşık bir saat sonra service worker’ın 7 GB disk kullandığını görünce şaşırdım. Neredeyse hiç dosya yüklememişken neyi bu kadar cache’lediğini anlamadım
    • Sonuçta her şeyi açıklayan şeyin Electron olması bana yeterli geldi
    • Aslında bu gerçek bir macOS uygulaması değil, daha çok paketlenmiş bir web uygulaması gibi görünüyor