Netcrook Logo
👤 SECPULSE
🗓️ 20 Apr 2026  

Smascherati per impostazione predefinita: come le pagine pubbliche di Notion rivelano silenziosamente le identità degli editor

Un difetto di privacy silenzioso in Notion espone nomi, email e foto degli editor - senza bisogno di login.

Immagina di cliccare “Pubblica sul web” sulla wiki Notion della tua azienda, convinto di condividere con il mondo una documentazione rifinita - solo per finire, senza volerlo, a far trapelare i nomi, gli indirizzi email e le foto profilo di ogni collega che ha messo mano alla pagina. È questa la realtà che oggi affrontano migliaia di utenti Notion, mentre una vulnerabilità a lungo trascurata trasforma una funzione di comodità in una potenziale miniera d’oro per il phishing.

Dentro l’esposizione: come l’API di Notion consegna le chiavi

La vulnerabilità, portata alla luce da ricercatori di sicurezza e da post virali su X, deriva da come Notion gestisce i permessi per le pagine pubbliche. Quando un utente pubblica una pagina, Notion incorpora nel codice sorgente della pagina gli Universal Unique Identifier (UUID) di tutti gli editor. Di per sé non è insolito - ma ciò che accade dopo è allarmante.

Chiunque può estrarre questi UUID e inviare una semplice richiesta POST all’endpoint /api/v3/syncRecordValuesMain di Notion. In modo sconcertante, questo endpoint non richiede autenticazione, cookie o token. Il server risponde consegnando i nomi completi, le email e perfino le foto profilo di tutti gli editor che abbiano mai contribuito alla pagina - di fatto smascherando chiunque lavori dietro le quinte, indipendentemente dalle impostazioni di privacy.

Nonostante la segnalazione originale di luglio 2022, Notion non si è affrettata a correggere il problema. L’azienda ha classificato l’incidente come “informativo”, lasciando la porta aperta allo sfruttamento. Il difetto è riemerso nell’aprile 2026, quando ricercatori come @weezerOSINT e @k1rallik hanno dimostrato pubblicamente quanto sia facile estrarre questi dati sensibili, suscitando ampia preoccupazione tra le organizzazioni che si affidano a Notion per documentazione rivolta al pubblico.

La risposta iniziale di Notion si è appoggiata all’affermazione che gli utenti fossero stati avvisati. Tuttavia, test dal vivo della comunità di sicurezza hanno rivelato che la funzione “Pubblica sul web” non offre alcun avvertimento esplicito sull’esposizione delle email degli editor. Sotto una pressione crescente, il team di prodotto di Notion ha ammesso che l’attuale configurazione è inaccettabile e ha promesso di dare priorità a una correzione.

Cosa succede ora - e come gli utenti possono proteggersi

Gli sviluppatori di Notion stanno ora valutando due soluzioni principali: rimuovere le informazioni personali identificabili (PII) dagli endpoint API pubblici oppure introdurre un sistema di proxy email, simile al modello di privacy di GitHub. Nel frattempo, si consiglia agli utenti di controllare le proprie pagine pubbliche, annullare la pubblicazione di tutto ciò che non è strettamente necessario e ridurre al minimo il numero di editor sui documenti che devono restare visibili al mondo.

Questo incidente è un promemoria netto del fatto che le funzioni di comodità possono nascondere rischi - e che la trasparenza negli avvisi sulla privacy è essenziale quanto la trasparenza nella documentazione. Mentre Notion lavora per chiudere questa falla di privacy, l’episodio dovrebbe spingere tutti gli utenti SaaS a esaminare con attenzione cosa significhi davvero “pubblico” sulle loro piattaforme preferite.

WIKICROOK

  • PII (Personally Identifiable Information): Le PII sono qualsiasi informazione in grado di identificare una persona, come un nome, un indirizzo o un numero di previdenza sociale, e devono essere protette per garantire la privacy.
  • UUID (Universal Unique Identifier): Un UUID è una stringa univoca assegnata a utenti o oggetti, usata per distinguerli e tracciarli in modo sicuro all’interno dei sistemi digitali.
  • API Endpoint: Un endpoint API è un indirizzo web specifico in cui i sistemi software scambiano dati, fungendo da finestra di servizio digitale sicura per richieste e risposte.
  • Data Scraping: Il data scraping è l’estrazione automatizzata di grandi quantità di informazioni dai siti web tramite bot o strumenti software, spesso per analisi o ricerca.
  • Phishing Attack: Un attacco di phishing è una truffa in cui gli aggressori usano messaggi o siti falsi per indurre le persone a condividere informazioni sensibili come password o dati bancari.
Notion privacy flaw data scraping
SECPULSE SECPULSE
SOC Detection Lead
← Back to news