文章摘要
公共Notion页面存在严重隐私泄露问题,无需任何验证即可通过简单请求获取所有编辑者的姓名、邮箱和头像。企业公开wiki可能导致员工邮箱全部外泄。
文章总结
【标题】Notion公开页面存在严重隐私泄露漏洞
【核心内容】
1. 漏洞详情:
- 所有公开的Notion页面会泄露所有编辑者的个人信息,包括:
- 电子邮箱地址
- 全名
- 个人资料照片
- 无需任何身份验证(零认证)、Cookie或令牌,仅需发送一个POST请求即可获取上述数据。
影响范围:
- 若企业使用公开的Notion Wiki,所有员工的邮箱等信息均会暴露。
- 该漏洞早在2022年已被报告,但截至2026年4月仍未修复。
来源与时间:
- 由用户@weezerOSINT(自称安全研究员)于2026年4月19日通过社交平台X披露。
- 推文附带多张漏洞验证截图,引发4.7万次浏览及广泛讨论。
【无关内容删减说明】
- 省略了原推文中的图片链接、平台推广内容(如"新用户注册")、趋势话题及页脚条款信息。
- 保留漏洞技术细节和实际影响,聚焦隐私泄露这一核心问题。
【警示】
企业用户需立即检查Notion页面权限设置,避免敏感信息通过公开页面外泄。
评论总结
以下是评论内容的总结:
企业需重视用户隐私保护
- 主要观点:大公司应更关注用户和员工的数据安全与隐私
- 引用:
"Big companys need to start caring more security and privacy..."(DropDead)
"It has been an issue for at least 5 years..."(RomanPushkin提到五年前就有人通过Notion页面追踪到他)
技术解决方案探讨
- 主要观点:提出分布式存储架构设想,将用户数据存储在客户端而非服务器,但存在技术挑战
- 论据:列举了数据聚合效率(O(x*y))、离线数据可用性、防爬取、数据修改权限等四大难题
- 引用:
"the server doesn't actually store most of the user data... I feel the correct solution is to not store user data"(amazingamazing)
"how do you secure the data for the user... can't just go to the clients and trivially scrape all of the data?"(同作者)
Notion的具体隐私问题
- 主要观点:官方文档显示公开页面会暴露协作者的个人信息(姓名/头像/邮箱)
- 引用:
"the webpage’s metadata may include... email addresses associated with any Notion users"(Tiberium引述官方文档)
产品体验批评
- 主要观点:Notion的Mac应用违反平台设计规范,体验差
- 引用:
"some of the worst software I’ve ever used... break platform design idiom"(georgespencer)
其他次要观点
- 对LLM用于简短推文的质疑(VladVladikoff:"you really need an LLM to write that???")
- 询问自托管替代方案(hohithere:"Any self hosted solution?")
争议焦点集中在:企业责任(是否应默认保护隐私)与技术可行性(分布式存储能否解决泄漏问题)的平衡。