Пользователи Notion из России столкнулись с утечками при экспорте данных

Привет, меня зовут Виктория, я научный коммуникатор, копирайтер и автор канала «завтрашние страницы». Я более 5 лет ежедневно пользуюсь Notion, консультирую его пользователей, а также рассказываю об AI-технологиях на понятном языке.

Как многие уже знают, сервис Notion уходит из России. После того, как это стало известно, пользователи стали массово выгружать свои данные. Такая нагрузка на сервера компании привела к задержкам и ошибкам при экспорте. Кроме того, появились сообщения о том, что при выгрузке данных пользователи получают поврежденные архивы. Но всё оказалось намного серьезней — ошибки в процессе экспорта, предположительно, привели к утечке данных, и русские пользователи обнаружили в своих архивах чужие файлы.

Об одной из таких утечек сообщила Анна Боровкова. Открыв архив с экспортом, Анна увидела, что данные её воркспейса выгрузились не полностью. Кроме того, помимо ее собственных данных, в архиве содержалась папка с информацией о неизвестном ей продукте.

Так выглядела одна из папок экспорта рабочего пространства Анны в Notion

Так как Анна использует Notion для управления проектами, она решила, что это мог быть один из шаблонов, которые она когда-то скачивала. Однако, она убедилась, что этот проект отсутствовал в её Notion. По словам Анны, проект, упоминаемый в документах назывался «НЕЧТО».

При попытке найти проект по названию внутри Notion результаты поиска не выявили совпадений

Анне удалось связаться с представителями проекта, данные которого попали её архив. Они подтвердили, что информация принадлежит им и не является публичной.

Чтобы удостовериться, что это ошибка, Анна запросила ещё один экспорт в том же формате выгрузки. В архиве содержался её воркспейс, тот же самый «чужой проект», а также рабочее пространство другого человека, включая детали доступа к различным сервисам, банковскую информацию, дни рождения семьи и личный дневник. Анна утверждает, что проверила и снова не обнаружила такой информации в своем пространстве.

Так выглядела еще одна из папок экспорта Анны в Notion

По словам Анны, в архиве присутствовали различные страницы, связанные с личным планированием — цели по здоровью и питанию, планы по обучению, литература, доступы, финансы. Скриншоты не публикуются по понятным причинам.

Ксения Роговец — разработчик шаблонов для Notion и репетитор рассказала, что у троих её клиентов в экспортах оказалась внутренняя документация проекта: отчеты по финансам и база данных клиентов.

«Сегодня мне присылают вот это. Видно, что у человека есть своя вкладка "Финансы", а ниже — мои файлы с отчетностью и брифом для клиентов».
Ксения

Скриншот, которым клиент Ксении поделился с ней -- галочками отметил неизвестные ему файлы и папки

Ксения ознакомилась содержанием и подтверждает, что данные в этих файлах принадлежат ей.

О том, что в архивах находятся чужие файлы сообщают и другие пользователи: они получают сертификаты на незнакомые имена и другая конфиденциальная информация.

А также личные фото и видео.

Скриншот из русскоязычного сообщества Notion: https://t.me/ru_notion/137828

Анна обратилась в техподдержку Notion: они сообщили, что «так быть не должно» и запросили разрешение на доступ к истории экспорта и содержимому файлов, чтобы провести расследование. Техподдержка также попросила уточнить названия файлов, которые были ошибочно включены в экспорт.

Скриншот общения с техподдержкой от 28 августа

После этого функция экспорта стала недоступна. В тот момент было не ясно, связано ли это с перегрузкой серверов из-за множественных экспортов или с данным кейсом.

Notion Status: https://status.notion.so/

28 августа в 21.14 по МСК Notion опубликовал объявление о проблемах с экспортом данных:

Aug 28, 11:14 PDT: Компания сообщила, что пользователи могут испытывать трудности с экспортом данных.
Aug 28, 13:50 PDT: Инженеры определили способ исправления проблемы и начали внедрять решение.
Aug 28, 18:53 PDT: Notion сообщили, что проблема с функцией экспорта решена. Однако пользователи могут столкнуться с задержками из-за необходимости обработки большого количества запросов на экспорт.

Кроме того, нами было замечено, что экспортированные файлы, выгруженные менее 7 дней назад, стали недоступны для скачивания.

Так сегодня (30 августа) выглядит страница при попытке скачивания экспорта, сделанного 27 августа, при этом ссылка на скачивание должна быть доступна в течение 7 дней

Мануал по выгрузке воркспейса от Notion: https://www.notion.so/help/export-your-content

Кроме того, пользователи сообщают, что при сравнении архивов, выгруженных 27 августа и тех, что докачались 29 августа, обнаруживается, что в последнем отсутствует часть информации. Стоит отметить, что даже после починки функции экспорта продолжали приходить архивы, запрошенные более 40 часов назад.

Скриншот из русскоязычного сообщества Notion: https://t.me/ru_notion/138749

Сегодня поддержка вернулась с ответом, который представлен на скриншоте ниже.

Скриншот ответа техподдержки от 29 августа

«Спасибо, что обратились к нам вчера и сотрудничали с нами, отвечая на наши вопросы. Как вы, возможно, видели в нашем статусе, у нас была проблема с функцией экспорта, которая уже решена. Если у вас возникнут дополнительные вопросы или беспокойства, пожалуйста, не стесняйтесь обращаться к нам»
Всего наилучшего, поддержка Ноушена

Недоступность функции экспорта и доступа к ранее запрошенным выгрузкам, а также ответ поддержки указывают на то, что проблема действительно существовала и оказала влияние на экспорты. Пользователи русскоязычного сообщества Notion, совершавшие экспорт после заявления сервиса об уходе обеспокоены тем, что их данные также могли уйти другим людям при экспорте. Неясно также то, почему компания до сих пор не предупредила своих клиентов о произошедшей утечке.

Анна снова обратилась в поддержку Notion, чтобы всё-таки выяснить происхождение чужих файлов в её экспорте. Пока что мы ожидаем разъяснений от сервиса. Мы не знаем, затронул ли баг другие учетные записи — но уже известно о четырех кейсах, представленных в статье. Если вы выгружали экспорт 27-28 августа, то ваши данные, предположительно, также могли попасть в чужой экспорт. За обновлениями по инциденту можно следить на канале Анны: Боровкова про жизнь и онлайн.

Избегайте хранения чувствительных данных и конфиденциальной информации в облачных сервисах. Используйте безопасные решения и создавайте резервные копии вашей информации.