सभी सार्वजनिक Notion पेज सभी editors के email addresses उजागर कर रहे हैं

 (twitter.com/weezerOSINT)
11 पॉइंट द्वारा GN⁺ 12 일 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • सार्वजनिक Notion पेजों में editor UUID बिना authentication के उजागर होता है, और एक POST request से नाम, email, profile photo हासिल किए जा सकते हैं
  • सार्वजनिक company wiki या documents में उस पेज को edit करने वाले कर्मचारियों के email addresses सीधे सामने आ सकते हैं, और Notion Community पेज पर भी 13 user ID में से 12 emails की पुष्टि हुई
  • टेस्ट में Notion कर्मचारी, svc-notion-prod@makenotion.com जैसे service account, और external contractors शामिल थे, और यह सब बिना किसी अलग cookie, token, या authentication process के देखा जा सकता था
  • getLoginOptions को भी बिना authentication के call किया जा सकता है, जिससे हर account के लिए password login और SSO usage के बीच फर्क किया जा सकता है
  • यह समस्या 2022 में report किए जाने के बाद भी ठीक नहीं हुई है, और सार्वजनिक पेजों का व्यापक उपयोग करने वाले संगठनों में PII exposure risk बड़ा बना हुआ है

पुनरुत्पादन का तरीका और उजागर होने वाली जानकारी

  • सार्वजनिक पेज की permission जानकारी के भीतर Notion API editor UUID लौटाता है, और इस प्रक्रिया में authentication की जरूरत नहीं होती
  • Notion Community पेज पर block permissions में 13 user IDs मिले, और उन्हें /api/v3/syncRecordValuesMain में भेजकर 12 email addresses हासिल किए गए
    • लौटाए गए डेटा में Notion कर्मचारी, svc-notion-prod@makenotion.com नाम का production service account, और external contractors शामिल थे
    • यह सब सिर्फ एक पेज से पुष्टि हुआ
  • request बिना अलग cookie, token, या authentication process के भेजी जा सकती है

प्रभाव और अतिरिक्त जोखिम

  • Notion पेजों का उपयोग company wiki, hiring board, public documents, onboarding guides जैसी कई तरह की जरूरतों में व्यापक रूप से हो रहा है
  • site: notion.site search से हजारों सार्वजनिक पेज मिल सकते हैं
  • ऐसे हर सार्वजनिक पेज पर एक unauthenticated API call से editors के email addresses उजागर हो सकते हैं
  • अगर 500 कर्मचारियों वाला enterprise workspace कोई सार्वजनिक पेज share करता है, तो एक request में 500 company email addresses हासिल किए जा सकते हैं
  • rate limiting नहीं है, और एक बार में 50 users को batch में process किया जा सकता है
  • getLoginOptions को भी बिना authentication call किया जा सकता है
  • इसे साथ में इस्तेमाल करने पर हर account के लिए यह पता लगाया जा सकता है कि वह password login इस्तेमाल करता है या SSO
  • यह संयोजन credential stuffing के लिए एक मुफ्त target list बन सकता है
  • पहली report 28 जुलाई 2022 को HackerOne में submit की गई थी
  • इसके बाद भी यह करीब 4 साल तक ठीक नहीं हुआ
  • वही समस्या दोबारा अलग से खोजकर report की गई, लेकिन उसे duplicate माना गया
  • दोबारा टेस्ट करने पर भी वही endpoint, unauthenticated स्थिति, और emails की वापसी बनी रही
  • HackerOne ने इस report को informative के रूप में classify किया; मूल स्रोत के अनुसार कोई CVE नहीं, कोई bug bounty नहीं
  • इसे customer PII exposure की स्थिति के रूप में परिभाषित किया गया
  • सार्वजनिक Notion पेज इस्तेमाल करने वाली टीमों को sharing settings की जांच करनी चाहिए

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.