Notion public pages đang rò rỉ email và ảnh của mọi editor — 4 năm chưa được fix

Một POST request không cần auth tới /api/v3/syncRecordValuesMain là đủ để lấy full name, email và ảnh profile của mọi người từng edit bất kỳ public Notion page nào. Bug đã được báo cáo qua HackerOne từ tháng 7/2022, bị đóng là "informative", và vừa bùng lên lại trên X ngày 19/04/2026.