Vulnerabilidade de exposição de PII
Notion, uma plataforma popular de produtividade e colaboração, está sob significativo escrutínio da comunidade de cibersegurança. Pesquisadores de segurança revelaram que páginas públicas do Notion expõem silenciosamente as informações pessoalmente identificáveis (PII) de qualquer pessoa que já as tenha editado.
Este vazamento de dados inclui nomes completos, endereços de e-mail e fotos de perfil, levantando preocupações significativas de privacidade para organizações que dependem da plataforma para documentação pública. A vulnerabilidade subjacente decorre de como o Notion processa dados de usuários dentro de espaços de trabalho públicos.
Mecanismo da exploração
Quando um documento é publicado na web, a plataforma incorpora UUIDs (Identificadores Únicos Universais) de editores diretamente nas permissões de bloco da página. Atores de ameaças e pesquisadores de inteligência de fontes abertas (OSINT) descobriram que esses identificadores internos estão prontamente acessíveis nos dados da página sem exigir autenticação, cookies de sessão ativa ou tokens de segurança.
Uma vez que esses UUIDs são colhidos, um atacante pode alimentá-los em uma única solicitação POST não autenticada para o endpoint de API interno do Notion: /api/v3/syncRecordValuesMain. Como este endpoint não impõe controles de acesso para dados de página pública, ele retorna os perfis de usuário completos associados àqueles UUIDs.
Timeline e resposta da empresa
O aspecto mais controverso desta exposição é seu longo prazo não resolvido. De acordo com pesquisadores de segurança, este comportamento exato da API foi relatado responsavelmente ao Notion através do programa de bug bounty HackerOne em julho de 2022. Na época, a equipe de segurança do Notion triou a submissão como meramente "informativa". Ela fechou o relatório como fora do escopo sem implementar um patch estrutural.
Após o intenso backlash público, o Notion reconheceu formalmente o problema. O representante do Notion, Max Schoening, abordou as preocupações da comunidade, notando que a plataforma fornece avisos de usuários sobre visibilidade de dados quando uma página é publicada na web. No entanto, reconhecendo que esta escolha de design apresenta riscos de segurança inaceitáveis, o Notion está trabalhando em uma correção arquitetural permanente.
Implicações regulatórias e LGPD
Para organizações brasileiras, este incidente tem implicações diretas para a conformidade com a Lei Geral de Proteção de Dados (LGPD). A exposição de dados pessoais de funcionários e colaboradores em páginas públicas pode constituir uma violação de segurança de dados pessoais, exigindo notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.
Organizações que utilizam o Notion para recursos públicos devem permanecer vigilantes, pois as informações de contato de seus funcionários podem já estar indexadas e acessíveis a ferramentas de raspagem automatizadas. A revisão de configurações de privacidade e a desativação de compartilhamento público para documentos sensíveis são medidas imediatas recomendadas.
Recomendações de mitigação
Equipes de segurança devem auditar imediatamente todas as páginas públicas do Notion em uso pela organização. A implementação de políticas de classificação de dados e a restrição de acesso a documentos contendo PII são essenciais. Além disso, a monitoração de tentativas de acesso não autorizado a APIs internas do Notion pode ajudar a detectar atividades maliciosas em tempo real.