피드로 돌아가기
모든 공개 Notion 페이지는 모든 편집자들의 이메일 주소를 노출하고 있음
GeekNewsGeekNews
Security

모든 공개 Notion 페이지는 모든 편집자들의 이메일 주소를 노출하고 있음

무인증 API 노출로 인한 PII 유출 및 SSO 식별 취약점 분석

neo2026년 4월 20일9intermediate

AI 요약

Context

공개 Notion 페이지의 메타데이터 구조 내에 편집자 UUID가 포함된 설계적 결함 존재. 인증 없이 호출 가능한 API 엔드포인트가 UUID를 기반으로 이름, 이메일, 프로필 사진 등 PII를 반환하는 아키텍처적 허점 노출.

Technical Solution

  • 공개 페이지 권한 정보에서 편집자 UUID를 무인증으로 획득하는 구조 파악
  • /api/v3/syncRecordValuesMain 엔드포인트에 UUID를 전달하여 개인정보를 추출하는 데이터 흐름 분석
  • getLoginOptions API의 무인증 호출을 통한 계정별 Password 로그인 및 SSO 사용 여부 판별 로직 확인
  • Rate Limiting 부재를 이용한 50명 단위의 배치 처리 기반 대규모 이메일 리스트 확보 가능성 식별
  • 이메일 프록시 도입 및 공개 엔드포인트 내 PII 제거를 통한 데이터 마스킹 방안 검토

실천 포인트

- 공개 API 엔드포인트의 모든 요청에 대해 최소 권한 원칙(Principle of Least Privilege) 기반의 인증 적용 여부 검토 - 내부 식별자(UUID)가 외부로 노출될 경우, 해당 식별자만으로 민감 정보에 접근 가능한 IDOR(Insecure Direct Object Reference) 취약점 점검 - PII 반환 API에 대해 요청 빈도를 제한하는 Rate Limiting 및 Throttling 정책 설정 - 공개 문서의 메타데이터 설계 시 기여자의 실명/이메일 대신 프록시 ID 또는 마스킹된 식별자 사용 고려

태그

#API Security#IDOR#SSO#Broken Access Control#PII
원문 읽기