모든 공개 Notion 페이지는 모든 편집자들의 이메일 주소를 노출하고 있음
**핵심 요약**
* **무엇이 일어났는지**
공개된 Notion 페이지에서 인증 없이 편집자의 UUID가 노출되며, 단 한 번의 POST 요청만으로 이름, 이메일, 프로필 사진 등 개인 식별 정보(PII)를 얻을 수 있는 취약점이 발견되었습니다. 이는 Notion API가 인증 절차 없이 사용자 정보를 반환하는 방식으로 인해 발생한 것입니다.
* **왜 중요한지**
이 취약점은 Notion을 공개 문서나 회사 위키 등으로 광범위하게 사용하는 조직에서 심각한 개인정보 유출 위험을 초래합니다. 엔터프라이즈 워크스페이스의 경우, 인증 없이 API를 호출하여 최대 500명의 직원 이메일 주소를 한 번에 확보할 수 있어, 자격 증명 무차별 대입(credential stuffing) 공격의 무료 타깃 목록으로 악용될 수 있습니다.
* **주의할 점 또는 맥락**
해당 문제는 2022년에 신고되었음에도 불구하고 수정되지 않은 상태이며, 이는 시스템 설계상의 문제(by design)로 간주될 수 있다는 비판이 제기되었습니다. 개발자들은 공개 엔드포인트에서 개인정보를 제거하거나 이메일 프록시로 대체하는 등의 보안 조치를 검토해야 하며, 기업은 사용자 데이터 보호에 대한 더 강력한 책임과 규제를 요구해야 한다는 맥락이 중요합니다.
* **무엇이 일어났는지**
공개된 Notion 페이지에서 인증 없이 편집자의 UUID가 노출되며, 단 한 번의 POST 요청만으로 이름, 이메일, 프로필 사진 등 개인 식별 정보(PII)를 얻을 수 있는 취약점이 발견되었습니다. 이는 Notion API가 인증 절차 없이 사용자 정보를 반환하는 방식으로 인해 발생한 것입니다.
* **왜 중요한지**
이 취약점은 Notion을 공개 문서나 회사 위키 등으로 광범위하게 사용하는 조직에서 심각한 개인정보 유출 위험을 초래합니다. 엔터프라이즈 워크스페이스의 경우, 인증 없이 API를 호출하여 최대 500명의 직원 이메일 주소를 한 번에 확보할 수 있어, 자격 증명 무차별 대입(credential stuffing) 공격의 무료 타깃 목록으로 악용될 수 있습니다.
* **주의할 점 또는 맥락**
해당 문제는 2022년에 신고되었음에도 불구하고 수정되지 않은 상태이며, 이는 시스템 설계상의 문제(by design)로 간주될 수 있다는 비판이 제기되었습니다. 개발자들은 공개 엔드포인트에서 개인정보를 제거하거나 이메일 프록시로 대체하는 등의 보안 조치를 검토해야 하며, 기업은 사용자 데이터 보호에 대한 더 강력한 책임과 규제를 요구해야 한다는 맥락이 중요합니다.