Vous avez l'habitude de publier des pages sur le web avec Notion ? Sachez que n'importe qui peut récupérer des informations personnelles sur les éditeurs.

Vous utilisez Notion et vous avez l’habitude de publier des pages sur le web ? Vous devriez lire avec attention cet article. En effet, une simple page Notion publiée sur le web suffit à exposer les adresses e-mail, les noms complets et les photos de profil de tous les contributeurs, et ce, sans la moindre authentification. Un problème de sécurité qui n’est cependant pas nouveau.

Une fuite de données via les pages publiques Notion L’application Notion est très utilisée, notamment par les entreprises, et elle peut notamment servir à mettre en place un wiki ou des pages de documentation. Le problème, c’est que sa façon de gérer les métadonnées sur les pages publiques ouvre la voie au scrapping de données.

Dans les faits, lorsqu’un utilisateur clique sur “Publier sur le web” dans Notion, cela revient à créer une sorte de site web avec les informations contenues sur la page. C’est une fonctionnalité très utilisée, néanmoins, le code source de la page accessible par n’importe quelle personne divulgue les UUID (Universal Unique Identifiers) des éditeurs au sein des données de permissions des blocs.

Un attaquant peut alors récupérer ces identifiants à l’aide d’une simple requête POST vers l’endpoint suivant de l’API : /api/v3/syncRecordValuesMain. En retour, le serveur livre des informations personnelles (PII) à propos des éditeurs : noms, adresses e-mail et images de profil. Les données sont exposées sans qu’il soit nécessaire d’avoir un cookie spécifique, un jeton d’accès ou une quelconque authentification.