Todas as páginas públicas do Notion estão expondo os endereços de e-mail de todos os editores

 (twitter.com/weezerOSINT)
11 pontos por GN⁺ 2026-04-20 | 3 comentários | Compartilhar no WhatsApp
  • Em páginas públicas do Notion, os UUIDs dos editores ficam expostos sem autenticação, e com uma única requisição POST é possível obter nome, e-mail e foto de perfil
  • Em wikis corporativas ou documentos públicos, os endereços de e-mail dos funcionários que editaram a página podem ficar visíveis; na página da Notion Community, também foi possível confirmar 12 e-mails entre 13 IDs de usuário
  • Nos testes, apareceram funcionários da Notion, contas de serviço como svc-notion-prod@makenotion.com e contratados externos, e a consulta podia ser feita sem cookies, tokens ou qualquer processo de autenticação
  • getLoginOptions também pode ser chamado sem autenticação, permitindo distinguir se cada conta usa login por senha ou SSO
  • O problema não foi corrigido desde que foi reportado em 2022, e organizações que usam amplamente páginas públicas seguem com alto risco de exposição de PII

Como reproduzir e quais dados ficam expostos

  • Nas informações de permissão de uma página pública, a API do Notion retorna os UUIDs dos editores, e isso ocorre sem necessidade de autenticação
  • Ao analisar a página da Notion Community, foram identificados 13 IDs de usuário nas permissões dos blocos, e ao enviá-los para /api/v3/syncRecordValuesMain, foi possível obter 12 endereços de e-mail
    • Entre os dados retornados estavam funcionários da Notion, a conta de serviço de produção svc-notion-prod@makenotion.com e contratados externos
    • Tudo isso foi confirmado a partir de uma única página
  • As requisições podem ser feitas sem cookies, tokens ou qualquer processo de autenticação

Impacto e riscos adicionais

  • Páginas do Notion são amplamente usadas como wiki corporativa, quadro de vagas, documentos públicos e guias de onboarding, entre outros formatos
  • Com uma busca por site: notion.site, é possível encontrar milhares de páginas públicas
  • Em cada uma dessas páginas públicas, uma chamada de API sem autenticação pode expor os e-mails dos editores
  • Se um workspace enterprise com 500 funcionários compartilhar uma página pública, será possível obter 500 endereços de e-mail corporativos com uma única requisição
  • Não há rate limiting, e é possível fazer processamento em lote de 50 usuários por vez
  • getLoginOptions também pode ser chamado sem autenticação
  • Combinando isso, dá para distinguir se cada conta usa login por senha ou SSO
  • Essa combinação pode virar uma lista gratuita de alvos para credential stuffing
  • O primeiro relato foi enviado ao HackerOne em 28 de julho de 2022
  • Desde então, o problema permaneceu sem correção por quase 4 anos
  • O mesmo problema foi encontrado e reportado novamente em separado, mas foi tratado como duplicado
  • Um novo teste mostrou o mesmo endpoint, ainda sem autenticação e continuando a retornar e-mails
  • No HackerOne, o relato foi classificado como informative; de acordo com o texto original, não houve CVE nem bug bounty
  • A situação é caracterizada como exposição de PII de clientes
  • Equipes que usam páginas públicas do Notion precisam revisar as configurações de compartilhamento

Leituras relacionadas

3 comentários

 
cshj55 2026-04-20

Depois do Notion AI, simplesmente... até ficou difícil entender que tipo de app ele é
Nem sabia que esse tipo de coisa também tinha acontecido
 
devsepnine 2026-04-21

Desde que migrei do Notion para o Obsidian, nem tenho mais motivo para usar..
 
GN⁺ 2026-04-20
Comentários do Hacker News
  • Ao publicar uma página pública do Notion na web, confirmei que a ajuda oficial diz que os nomes, as fotos de perfil e os endereços de e-mail dos usuários que contribuíram podem ser incluídos nos metadados. Pareceu ainda mais problemático que essa exposição de PII estivesse meio escondida como uma observação
    • Esse defeito em si já é absurdo, mas a postura de tratá-lo como algo by design pareceu ainda mais inacreditável
    • Como usuário do Notion que usa páginas públicas, isso realmente me pareceu um projeto sem cabimento
    • Lembro de já ter visto algo parecido em feeds RSS de alguns CMSs
  • Eu sou Max, do Notion, e esse problema está documentado e há um aviso ao publicar, mas acho que isso por si só não é suficiente. No momento, estamos avaliando remover informações pessoais do endpoint público ou substituí-las por um proxy de e-mail, como nos commits públicos do GitHub. E, ao contrário do que pode parecer, não era uma correção que se resolvesse em 1 minuto
    • Ainda assim, o fato de a questão já ter 4 anos parece tempo demais
    • Fiquei curioso sobre qual mensagem de aviso aparece de fato. Quando criei uma página pública há um mês, entendi apenas que o conteúdo da página ficaria público, e nem de longe que os e-mails dos editores também seriam expostos
    • Mesmo assim, dá a impressão de que o Notion já teve bem mais de 1 minuto para resolver isso
    • Já que você está aqui, também queria perguntar por que o Notion é extremamente lento no Firefox
    • Como isso já foi relatado em 2022 e, pela natureza do problema, parece um erro óbvio, não acho exagero ter esperado que já estivesse corrigido a esta altura
  • Fiquei um tempo sem usar o Notion e, quando voltei a olhar, tive a impressão de que a identidade do serviço mudou completamente: antes eu talvez o recomendasse como exemplo de hipertexto, e agora ele se vende com frases como AI workplace ou AI everything app. Fiquei pensando no que aconteceu
    • Eu também não uso há alguns anos, mas sempre que vi alguém em alguma empresa empurrar o Notion com força e tentar migrar o time, no fim a velocidade do trabalho caía bastante. Chegou ao ponto de surgir a piada de que mandar alguém para uma concorrente para implantar o Notion já seria uma forma de sabotagem. Minha impressão é que a curva de aprendizado é mais longa do que parece e, embora poupe tempo para um pequeno grupo de entusiastas — em geral PMs ou pessoal de operações —, ele acaba impondo à maioria uma gestão focada em legibilidade. Ao forçar trabalhos bagunçados, mas reais, a caber em tabelas bonitas e visões organizadas, espalha-se pela organização um estado que é agradável de ver, mas impreciso
    • O Notion já se posiciona há anos como um app unificado de trabalho, e se o produto junta gestão de projetos e documentação, parece natural que siga também na direção de IA
    • Para mim, não é que o Notion tenha perdido o sentido “agora”; ele sempre foi um app que quer fazer tudo, e por isso um instrumento disperso e ineficiente. Colocar IA em cima disso só parece uma continuação da mesma lógica
    • Fiquei curioso sobre o que exatamente significa a expressão exemplo de hypertext usada aqui
    • Como sou mais acostumado com Unix, fico até satisfeito por não precisar usar esse tipo de software no dia a dia
  • Pelo que lembro, esse problema já existe há pelo menos 5 anos. Inclusive, no passado alguém olhou minha página do Notion e acabou quebrando meu anonimato por causa disso
    • Fiquei pensando se, para preservar a privacidade, agora é preciso mesmo separar contas e gerenciar rastros em nível de OPSEC
  • O timing foi curioso. Eu tinha acabado de pedir ao Claude uma comparação entre Notion vs Obsidian e, quando fui para o HN, vi esse post logo em seguida, então achei bem oportuno
    • As recomendações ajudaram bastante. Meu caso de uso não é um grafo de conhecimento pessoal, e sim organizar a construção de uma ADU, então eu precisava de um conjunto amplo: gestão de tarefas, quadro de inspirações, planilha de custos, lista de pedidos e documentos. Nisso, o Notion ainda pareceu bem forte, enquanto ferramentas como Logseq, Obsidian, Joplin, Trilium e Craft parecem muito boas em seus nichos, mas um pouco insuficientes para o que eu preciso. O Anynote parecia interessante, mas não tem cliente web, e o Milanote pareceu mais adequado quando o foco em quadro de inspiração é maior. No fim, se não fosse essa questão, eu ainda acharia o Notion uma opção bastante atraente
    • Para um repositório de conhecimento pessoal, eu recomendaria ficar longe de serviços proprietários. Eu gosto do Logseq, mas também venho me preocupando com a possibilidade de ele virar abandonware
    • Meu projeto, hyperclast, talvez também valha uma olhada. Eu inclusive organizei uma página de comparação com Notion, Obsidian etc.
    • Eu uso o Outline em self-hosting. Talvez ele tenha menos recursos recentes de IA, mas sinto que já cobre quase tudo que eu preciso como alternativa ao Notion
    • Eu migrei do Obsidian para o Joplin alguns anos atrás e fiquei satisfeito por ele ser totalmente FOSS e poder sincronizar com minha instância pessoal de Nextcloud
  • Acho que empresas grandes deveriam tratar com mais seriedade a segurança e a privacidade de usuários e funcionários
    • Talvez seja hora de fazer com que conselhos e acionistas de grandes empresas também não possam se esconder atrás da estrutura jurídica e tenham responsabilidade financeira por problemas assim
    • Empresas só se movem quando há motivo. No fim, os usuários precisam se importar mais com a própria privacidade e estar dispostos a trocar de produto quando necessário. Só reclamação não mexe na receita, então, do ponto de vista da empresa, pouca coisa muda
    • Daqui para frente, imagino consultorias promovendo quantas correções de vulnerabilidades conseguem entregar por milhão de tokens, e equipes de engenharia sofrendo pressão para fazer merge de código gerado. Também espero ver mais serviços de revisão de PRs de segurança e auditoria de codebase, no estilo Dependabot ou SonarQube, consumindo muitos tokens. Parece um mercado em que times pequenos conseguem construir ARR rápido
    • No fim das contas, para impedir de verdade esse tipo de problema, acho que os eleitores precisam escolher políticos e regulações que de fato punam empresas
    • Sendo realista, acho que empresas olham principalmente para o lucro. O incentivo para gerar receita o mais rápido possível, fazer um exit e partir para a próxima startup parece muito mais forte
  • Já pensei em uma arquitetura em que o servidor quase não armazena dados dos usuários, e cada usuário carrega os próprios dados e só os materializa sob demanda quando necessário. Como vazamentos por erro humano são difíceis de evitar, a solução mais fundamental me parece ser armazenar menos desde o começo. Mas há muitos desafios: custo de combinar dados de grupo, problemas de agregação causados por usuários offline, prevenção contra scraping no cliente e controle de alterações não autorizadas. Por exemplo, imaginei um modelo em que cada usuário do HN teria seu próprio sqlite e o servidor buscaria os posts de cada um, mas se só uma pessoa estivesse indisponível já faltariam resultados, então a dificuldade prática parece alta
    • Também gosto da ideia, mas acho fácil ela acabar voltando para algo muito parecido com o sistema atual. Como os usuários usam vários dispositivos, no fim é preciso um serviço de sincronização; e, quando essa complexidade cresce, tudo tende a ser entregue de novo a terceiros, o que nos leva de volta ao mundo de login e gestão de dados ao estilo FB, Google e Apple
  • Eu uso bastante o Notion e até criei algumas integrações, e no geral acho que é um bom app, com uso de IA razoável e melhorias contínuas. Espero que esse problema seja corrigido, e fiquei feliz que a API tenha melhorado bastante recentemente, a ponto de database views passarem a ser suportadas como objetos de primeira classe. Ainda tenho mais alguns pequenos desejos para a API pública
  • O tweet era um texto curtíssimo, de só algumas frases; fiquei pensando se realmente precisava ser escrito com LLM
  • O app do Notion para macOS foi um dos piores softwares que já usei. Pareceu ignorar quase todas as convenções de design da plataforma
    • Queria muito que essa cultura de apps empacotados em web wrapper acabasse logo. Tenho a sensação de que serviços demais estão arruinando a experiência do usuário desse jeito
    • Eu tinha instalado fazia cerca de uma hora e já vi o service worker usando 7 GB de disco. Quase não subi arquivos, então não faço ideia do que ele estava cacheando tanto
    • No fim, o fato de ser Electron parece explicar tudo
    • Na verdade, isso nem parece um app de macOS de verdade, mas sim só um web app empacotado