सभी सार्वजनिक Notion पेज सभी editors के email addresses उजागर कर रहे हैं

 (twitter.com/weezerOSINT)
11 पॉइंट द्वारा GN⁺ 2026-04-20 | 3 टिप्पणियां | WhatsApp पर शेयर करें
  • सार्वजनिक Notion पेजों में editor UUID बिना authentication के उजागर होता है, और एक POST request से नाम, email, profile photo हासिल किए जा सकते हैं
  • सार्वजनिक company wiki या documents में उस पेज को edit करने वाले कर्मचारियों के email addresses सीधे सामने आ सकते हैं, और Notion Community पेज पर भी 13 user ID में से 12 emails की पुष्टि हुई
  • टेस्ट में Notion कर्मचारी, svc-notion-prod@makenotion.com जैसे service account, और external contractors शामिल थे, और यह सब बिना किसी अलग cookie, token, या authentication process के देखा जा सकता था
  • getLoginOptions को भी बिना authentication के call किया जा सकता है, जिससे हर account के लिए password login और SSO usage के बीच फर्क किया जा सकता है
  • यह समस्या 2022 में report किए जाने के बाद भी ठीक नहीं हुई है, और सार्वजनिक पेजों का व्यापक उपयोग करने वाले संगठनों में PII exposure risk बड़ा बना हुआ है

पुनरुत्पादन का तरीका और उजागर होने वाली जानकारी

  • सार्वजनिक पेज की permission जानकारी के भीतर Notion API editor UUID लौटाता है, और इस प्रक्रिया में authentication की जरूरत नहीं होती
  • Notion Community पेज पर block permissions में 13 user IDs मिले, और उन्हें /api/v3/syncRecordValuesMain में भेजकर 12 email addresses हासिल किए गए
    • लौटाए गए डेटा में Notion कर्मचारी, svc-notion-prod@makenotion.com नाम का production service account, और external contractors शामिल थे
    • यह सब सिर्फ एक पेज से पुष्टि हुआ
  • request बिना अलग cookie, token, या authentication process के भेजी जा सकती है

प्रभाव और अतिरिक्त जोखिम

  • Notion पेजों का उपयोग company wiki, hiring board, public documents, onboarding guides जैसी कई तरह की जरूरतों में व्यापक रूप से हो रहा है
  • site: notion.site search से हजारों सार्वजनिक पेज मिल सकते हैं
  • ऐसे हर सार्वजनिक पेज पर एक unauthenticated API call से editors के email addresses उजागर हो सकते हैं
  • अगर 500 कर्मचारियों वाला enterprise workspace कोई सार्वजनिक पेज share करता है, तो एक request में 500 company email addresses हासिल किए जा सकते हैं
  • rate limiting नहीं है, और एक बार में 50 users को batch में process किया जा सकता है
  • getLoginOptions को भी बिना authentication call किया जा सकता है
  • इसे साथ में इस्तेमाल करने पर हर account के लिए यह पता लगाया जा सकता है कि वह password login इस्तेमाल करता है या SSO
  • यह संयोजन credential stuffing के लिए एक मुफ्त target list बन सकता है
  • पहली report 28 जुलाई 2022 को HackerOne में submit की गई थी
  • इसके बाद भी यह करीब 4 साल तक ठीक नहीं हुआ
  • वही समस्या दोबारा अलग से खोजकर report की गई, लेकिन उसे duplicate माना गया
  • दोबारा टेस्ट करने पर भी वही endpoint, unauthenticated स्थिति, और emails की वापसी बनी रही
  • HackerOne ने इस report को informative के रूप में classify किया; मूल स्रोत के अनुसार कोई CVE नहीं, कोई bug bounty नहीं
  • इसे customer PII exposure की स्थिति के रूप में परिभाषित किया गया
  • सार्वजनिक Notion पेज इस्तेमाल करने वाली टीमों को sharing settings की जांच करनी चाहिए

संबंधित पढ़ाई

3 टिप्पणियां

 
cshj55 2026-04-20

Notion AI के बाद तो बस... ये समझ ही नहीं आता कि यह कौन-सा ऐप बन गया है
अरे, ऐसा भी हुआ था
 
devsepnine 2026-04-21

Notion से Obsidian पर शिफ्ट करने के बाद से इसका इस्तेमाल करने की ज़रूरत ही नहीं पड़ी..
 
GN⁺ 2026-04-20
Hacker News की राय
  • मैंने पुष्टि की कि जब Notion की public page वेब पर publish की जाती है, तो contributors के नाम, profile photo और email address metadata में शामिल हो सकते हैं, जैसा कि official help article में लिखा है। और भी बड़ी समस्या यह लगी कि ऐसा PII exposure किसी footnote की तरह दबा हुआ था
    • यह खामी अपने आप में ही बेतुकी है, लेकिन इसे लगभग by design की तरह लेना और भी ज़्यादा हैरान करने वाला लगा
    • मैं भी public page इस्तेमाल करने वाले Notion user के नज़रिए से इसे सचमुच पूरी तरह बेतुका design मानता हूँ
    • मुझे याद है कि कुछ CMS के RSS feed में भी ऐसा ही मामला देखा था
  • मैं Notion का Max हूँ। यह issue documented है और publish करते समय warning भी दिखाई जाती है, लेकिन मुझे भी लगता है कि सिर्फ़ इतना काफ़ी नहीं है। अभी हम public endpoint पर personal information हटाने या GitHub के public commit की तरह email proxy से बदलने के विकल्प देख रहे हैं। और दिखने के विपरीत, यह 1 minute में हो जाने वाला fix नहीं था
    • फिर भी, issue सामने आए 4 साल हो जाना बहुत ज़्यादा लंबा लगता है
    • मैं जानना चाहता था कि असल में कौन-सी warning text दिखती है। जब मैंने एक महीने पहले public page बनाई थी, तब मुझे यह सिर्फ़ इतना लगा था कि page content public होगा, editor के email तक expose होंगे ऐसा बिल्कुल नहीं लगा
    • फिर भी, क्या Notion के पास पहले से 1 minute से ज़्यादा समय नहीं था?
    • जब बात निकली है, तो यह भी जानना था कि Firefox में Notion इतना बेहद धीमा क्यों है
    • यह 2022 में ही report हो चुका था, और इसकी प्रकृति देखते हुए यह साफ़ तौर पर bug जैसा लगता है, इसलिए अब तक fix हो जाना उम्मीद से बाहर नहीं था
  • मैंने कुछ समय Notion नहीं इस्तेमाल किया था, फिर वापस देखा तो लगा कि जिसे पहले hypertext के उदाहरण के तौर पर recommend कर सकता था, वही अब AI workplace या AI everything app जैसे वाक्य आगे रख रहा है। लगा कि इसकी पहचान ही पूरी बदल गई है। समझ नहीं आया कि आखिर हुआ क्या
    • मैंने भी इसे कुछ सालों से नहीं इस्तेमाल किया, लेकिन कई कंपनियों में जब भी किसी ने Notion को बहुत ज़ोर से push करके team migration करवाना चाहा, मैंने अक्सर productivity को काफ़ी गिरते देखा। मज़ाक में यह तक कहा गया कि अगर किसी competitor के यहाँ किसी को भेजकर Notion adopt करा दो, तो वह disruption होगा। मेरी छाप यह रही कि इसकी learning curve उम्मीद से लंबी है, और यह कुछ गिने-चुने champions—अक्सर PM या operations side—का समय बचाती है, लेकिन ज़्यादातर लोगों पर readability-first management थोपती है। गंदे लेकिन वास्तविक काम को साफ़ tables और व्यवस्थित views में ज़बरदस्ती फिट करने की कोशिश में, चीज़ें दिखने में सुंदर लेकिन असल में ग़लत होकर पूरे संगठन में फैलती हुई लगीं
    • मेरे हिसाब से Notion कई सालों से खुद को काम के लिए unified app के रूप में position कर रहा है, और अगर product project management और documentation को एक साथ बाँधता है, तो उसमें AI आना भी स्वाभाविक है
    • मेरे लिए Notion ने “अब आकर” meaning नहीं खोया; यह शुरू से ही सब कुछ करने वाली app थी, और उसी वजह से बिखरा हुआ और inefficient tool भी। उस पर AI चढ़ाना उसी सिलसिले का विस्तार लगा
    • यहाँ hypertext का उदाहरण कहने से आपका ठीक-ठीक क्या मतलब था, यह जानने की जिज्ञासा थी
    • मैं Unix का आदी हूँ, इसलिए इस तरह के software को रोज़मर्रा में इस्तेमाल न करना ही मेरे लिए संतोष की बात है
  • मुझे याद है कि यह issue कम-से-कम 5 साल से ज़्यादा पुराना है। सच तो यह है कि पहले किसी ने मेरी Notion page देखकर मेरी anonymity भी तोड़ दी थी
    • अब privacy बचानी हो तो क्या सचमुच OPSEC level पर account अलग रखने और traces manage करने पड़ेंगे, ऐसा लगा
  • timing काफ़ी अजीब थी। अभी-अभी मैंने Claude से Notion vs Obsidian की तुलना करवाई थी, और फिर HN खोला तो तुरंत यही post दिख गई, तो काफ़ी अच्छा लगा
    • सबने बहुत recommendations दीं, उससे मदद मिली। मेरा use case personal knowledge graph नहीं, बल्कि ADU बनवाने का काम है, इसलिए मुझे task management, inspiration board, cost sheet, order list और documents तक काफ़ी व्यापक चीज़ें चाहिए थीं। उस नज़र से Notion अब भी काफ़ी powerful लगा, जबकि Logseq, Obsidian, Joplin, Trilium और Craft जैसे tools अपने-अपने क्षेत्र में अच्छे होते हुए भी मेरी ज़रूरत के लिए थोड़े कम लगे। Anynote ठीक लगा लेकिन web client नहीं है, और Milanote inspiration board-heavy काम के लिए ज़्यादा उपयुक्त लगा। इस issue को छोड़ दें तो Notion अब भी काफ़ी आकर्षक विकल्प लगता
    • अगर बात personal knowledge repository की है, तो मैं proprietary service से दूर रहने की सलाह दूँगा। मुझे Logseq पसंद है, लेकिन उसके धीरे-धीरे abandonware बनते जाने की चिंता भी है
    • मेरा project hyperclast भी एक बार देखने लायक है। Notion, Obsidian आदि से तुलना वाला page भी अलग से रखा है
    • मैं Outline को self-hosting करके इस्तेमाल कर रहा हूँ। हो सकता है इसमें latest AI features कम हों, लेकिन Notion alternative के तौर पर लगभग ज़रूरी सब कुछ है
    • मैं कुछ साल पहले Obsidian से Joplin पर गया था, और यह पूरी तरह FOSS है, साथ ही personal Nextcloud instance के साथ sync भी हो जाता है, इसलिए मैं संतुष्ट हूँ
  • मेरा मानना है कि बड़ी कंपनियों को user और employee की security और privacy को ज़्यादा गंभीरता से लेना चाहिए
    • शायद बड़े corporations के board और shareholders को भी legal structure के पीछे छिपने न दिया जाए, और ऐसे मामलों में उन पर financial liability भी डाली जाए
    • कंपनियाँ तभी हिलती हैं जब कोई कारण हो। आखिरकार users को अपनी privacy की ज़्यादा परवाह करनी होगी, और ज़रूरत पड़े तो product बदलने की इच्छा भी रखनी होगी। सिर्फ़ आलोचना से revenue नहीं हिलता, इसलिए कंपनी के लिए कुछ ख़ास बदलता नहीं दिखता
    • आगे चलकर consulting firms शायद यह बेचेंगी कि प्रति million token कितने vulnerability fixes किए जा सकते हैं, और engineering teams पर generated code merge करने का दबाव बढ़ेगा। Dependabot या SonarQube जैसी token-heavy security PR review और codebase audit services भी और बढ़ेंगी, और यह ऐसा market लगता है जहाँ छोटी teams जल्दी ARR बना सकती हैं
    • आखिरकार ऐसी समस्याओं को सच में रोकने के लिए voters को ऐसे politicians और regulation चुनने होंगे जो कंपनियों को वास्तविक दंड दे सकें
    • व्यावहारिक रूप से कंपनियाँ सिर्फ़ profit देखती हैं। जितनी जल्दी हो सके revenue बनाना, exit करना और अगली venture पर बढ़ जाना ही ज़्यादा मजबूत incentive लगता है
  • मैंने कभी ऐसी architecture के बारे में सोचा था जिसमें server user data बहुत कम store करे, और हर user अपना data अपने पास रखे और ज़रूरत पड़ने पर ही on-demand materialize किया जाए। इंसानी गलती से होने वाले leak को पूरी तरह रोकना मुश्किल है, इसलिए सबसे बुनियादी समाधान मुझे शुरू से कम data store करना लगा। लेकिन इसमें group data composition की लागत, offline users की वजह से aggregation issues, client scraping रोकना, और unauthorized data modification को control करना जैसे कई कठिन सवाल हैं। उदाहरण के लिए, मैंने ऐसा model भी सोचा जिसमें हर HN user का अपना sqlite हो और server हर किसी से post खींचे, लेकिन एक user भी unavailable हो तो result अधूरा रह सकता है, इसलिए यह व्यावहारिक रूप से काफ़ी कठिन लगा
    • मुझे भी यह idea पसंद है, लेकिन आखिर में यह फिर आज के systems जैसी ही शक्ल ले लेता है। user कई devices इस्तेमाल करते हैं, इसलिए अंततः sync service चाहिए होती है, और जब complexity बढ़ती है तो लोग इसे फिर किसी third party को सौंप देते हैं, जिससे हम वापस FB, Google, Apple जैसी login और data management वाली दुनिया में पहुँच जाते हैं
  • मैं Notion का बहुत इस्तेमाल करता हूँ और कुछ integrations भी बना चुका हूँ। कुल मिलाकर यह अच्छी app है, AI का उपयोग भी ठीक है, और यह लगातार बेहतर हो रही है। इस issue को ज़रूर fix होना चाहिए, और हाल में API काफ़ी बेहतर हुई है; database views को first-class object की तरह support मिलना अच्छी बात लगी। Public API में अभी भी मेरी कुछ छोटी इच्छाएँ बाकी हैं
  • tweet बस कुछ शब्दों की छोटी post थी, इसलिए लगा कि ऐसी चीज़ भी क्या LLM से लिखनी ज़रूरी है
  • Notion की macOS app मेरे इस्तेमाल किए गए software में सबसे ख़राब में से एक थी। लगा कि यह platform की लगभग सारी design conventions को नज़रअंदाज़ करती है
    • काश यह web wrapper app संस्कृति जल्दी ख़त्म हो जाए। बहुत-सी services इसी तरीके से user experience खराब कर रही हैं
    • install किए हुए करीब एक घंटा ही हुआ था, और service worker 7GB disk इस्तेमाल कर रहा था। मैंने मुश्किल से कोई file upload की थी, फिर भी पता नहीं इतना क्या cache कर रहा था
    • आख़िर में लगा कि Electron होना ही सब कुछ समझा देता है
    • सच कहूँ तो यह असली macOS app कम और बस web app का पैकेज किया हुआ रूप ज़्यादा लगती है