Lỗ hổng bảo mật Notion lộ địa chỉ email của người biên tập trên các trang công khai

Gần đây, cộng đồng công nghệ đã xôn xao trước thông tin về một lỗ hổng bảo mật nghiêm trọng trên nền tảng ghi chú và làm việc phổ biến Notion. Theo đó, bất kỳ ai cũng có thể dễ dàng trích xuất được địa chỉ email của tất cả những người biên tập (editors) đối với các trang Notion được đặt ở chế độ công khai (public).

Vấn đề này xuất phát từ cách Notion xử lý dữ liệu siêu dữ liệu trên các trang web tĩnh được tạo ra từ nền tảng này. Mặc dù nội dung bài viết được hiển thị công khai cho mọi người xem, nhưng thông tin nhận dạng cá nhân như địa chỉ email thường được kỳ vọng là được giữ kín. Tuy nhiên, lỗ hổng này cho phép kẻ xấu lấy được danh sách email thông qua API hoặc mã nguồn trang web mà không cần bất kỳ xác thực nào.

Tác động đến quyền riêng tư

Sự cố này ảnh hưởng trực tiếp đến quyền riêng tư của hàng triệu người dùng Notion hiện nay. Những người thường xuyên chia sẻ tài liệu, blog hoặc tài nguyên trên các trang công khai có thể trở thành mục tiêu của các chiến dịch spam hoặc lừa đảo (phishing) có chủ đích.

Việc lộ email không chỉ gây phiền toái bởi hàng loạt email quảng cáo không mong muốn, mà còn có thể dẫn đến các rủi ro bảo mật cao cấp hơn. Các tác nhân đe dọa có thể sử dụng thông tin này để dàn dựng các cuộc tấn công kỹ thuật xã hội nhắm vào các cá nhân hoặc tổ chức cụ thể.

Khuyến nghị cho người dùng

Trong thời gian chờ đợi bản vá chính thức từ đội ngũ kỹ thuật của Notion, người dùng nên cân nhắc kỹ trước khi chia sẻ các trang ở chế độ công khai nếu không muốn danh tính của mình bị lộ. Ngoài ra, việc sử dụng các alias email hoặc email riêng biệt cho các công việc cộng tác công khai cũng là một biện pháp phòng ngừa cần thiết để bảo vệ tài khoản chính.