Bên trong menu QR của quán cà phê này có gì?

 (peabee.substack.com)
7 điểm bởi GN⁺ 2024-09-24 | 3 bình luận | Chia sẻ qua WhatsApp

Những sự thật gây sốc chỉ biết sau khi gọi món bằng menu mã QR

  • Vài ngày trước, tôi gọi món bằng mã QR tại một quán cà phê gần nhà và chỉ sau 5 phút đồ ăn đã được mang ra mà không có bất kỳ bước xác nhận nào
  • Khi mở website từ mã QR, tôi thấy nó đang chạy trên một subdomain của dotpe.in
  • Dotpe là công ty cung cấp “full stack food stack” cho nhà hàng, và Google là một trong các nhà đầu tư

Các vấn đề được phát hiện trong API của Dotpe

  • Ở endpoint /api/morder/suggestion/ongoing/items, có thể thấy toàn bộ danh sách món ăn đang được đặt tại quán cà phê đó
  • Ở endpoint /api/morder/suggestion/items/purchase/history, hệ thống cung cấp số lần đặt của từng món trong tháng trước
  • Từ đó có thể tính được doanh thu một tháng
  • Ở endpoint /api/morder/suggestion/items/past-fav, chỉ cần đổi số điện thoại là có thể xem cả lịch sử đơn hàng trước đây của người khác
  • Ở endpoint /api/morder/fd/table/state, chỉ cần đổi table ID là có thể xem tên, số điện thoại và nội dung đơn hàng của người khác

Truy cập dữ liệu quy mô toàn quốc của Dotpe

  • Thông qua API tìm kiếm cửa hàng nhượng quyền của Dotpe, có thể xem lịch sử đơn hàng theo thời gian thực của hơn 37.000 nhà hàng trên toàn quốc
  • Các chuỗi lớn như Starbucks, Pizza Hut, Haldiram's, Social, Barista, Paradise Biryani cũng đang sử dụng
  • Kết quả phân tích dữ liệu bán hàng tháng trước cho thấy Social Pub ghi nhận doanh thu thường niên hơn 20 tỷ rupee, đồng thời có thể xác định món bán chạy theo từng chi nhánh
  • Cửa hàng chính của Paradise Biryani có doanh thu hơn 70 lakh rupee mỗi tháng

Kết quả thử nghiệm và những mối lo ngại

  • Sau khi phân tích API, tác giả xác nhận có thể từ xa đặt món vào bàn của người khác
  • Khi trực tiếp thử tại Social Pub, việc này đã gây ra chút hỗn loạn nhưng không phát sinh sự cố lớn
  • Tuy vậy, nếu bị tự động hóa ở quy mô lớn thì có thể gây hỗn loạn trên phạm vi toàn quốc
  • Thông qua endpoint /api/morder/fd/table/state, có thể truy cập lịch sử đơn hàng trước đây của mọi người từng đặt qua dotpe
  • Nếu kết hợp với dữ liệu cá nhân, bất kỳ ai cũng có thể theo dõi thói quen ăn uống của người khác, thậm chí làm dấy lên lo ngại về khả năng mua bán dữ liệu
  • Việc API bị phơi bày không phòng vệ như vậy có vẻ либо là một quyết định có chủ ý, либо là do Dotpe thờ ơ

Ý kiến của GN⁺

  • Quy mô và mức độ nhạy cảm của dữ liệu mà Dotpe đang thu thập là điều rất đáng lo ngại. Thông tin liên quan đến thói quen ăn uống cá nhân có nguy cơ xâm phạm quyền riêng tư cao
  • Việc bất kỳ ai cũng có thể truy cập thông tin doanh thu của các nhà hàng trên toàn quốc cũng là vấn đề về bảo vệ bí mật kinh doanh của doanh nghiệp
  • Các dịch vụ tương tự như Swiggy, Zomato dường như chú trọng bảo mật hơn. Dotpe cũng cần tăng cường kiểm soát truy cập API và xác thực
  • Khi sử dụng dịch vụ gọi món không tiếp xúc dựa trên mã QR, cần xem xét cẩn thận phạm vi thu thập dữ liệu cá nhân và cách dữ liệu được sử dụng
  • Trong bối cảnh quy định về quyền riêng tư dữ liệu đang được siết chặt, cách làm của Dotpe nhiều khả năng sẽ thu hút sự chú ý của cơ quan quản lý. Có vẻ họ cần chủ động ứng phó sớm

Bài viết liên quan

3 bình luận

 
elddytbt 2024-09-25

Tôi biết ở Trung Quốc, mã QR từ lâu đã được sử dụng cực kỳ phổ biến và đa dụng.
Vì vậy tôi nghe nói cũng có khá nhiều kiểu phạm tội như lén thay mã QR trên bảng menu của cửa hàng bằng mã QR của mình. (Vì chỉ nhìn mã QR thì không thể phân biệt nó đại diện cho sản phẩm gì hay là của ai.)
Nhưng chuyện theo kiểu này mà đến cả endpoint cũng bị lộ hẳn ra và ai cũng có thể truy cập được thì đây lại là lần đầu tôi nghe thấy. Khá thú vị.
 
xguru 2024-09-24

Bài gốc đã bị xóa rồi nhỉ. Nhưng trên web archive thì vẫn còn nguyên cả đấy.
https://archive.is/Z7eIg
 
GN⁺ 2024-09-24
Ý kiến Hacker News

  • Tiết lộ lỗ hổng một cách riêng tư trước khi công khai là tiêu chuẩn đạo đức

    • Cảnh báo cho công ty trước khi công bố lỗ hổng sẽ cho họ cơ hội khắc phục vấn đề
    • Không cho công ty thời gian phản ứng có thể gây thiệt hại cho các doanh nghiệp nhỏ

  • Trải nghiệm gọi món tốt nhất là dùng thực đơn giấy và gọi qua phục vụ bàn

    • Thực đơn giấy và phục vụ bàn tốt hơn việc mọi người ở bàn đều cầm điện thoại nghịch

  • Công khai dữ liệu doanh thu chính xác của một doanh nghiệp trị giá nhiều triệu đô là một ý tưởng tồi

    • Sau khi dùng menu QR, việc món ăn xuất hiện chỉ sau vài cú nhấp là một sự đổi mới
    • Đặc biệt hữu ích ở những nơi không kỳ vọng dịch vụ quá xuất sắc

  • Xét từ góc độ kỹ thuật thì thú vị, nhưng việc công bố lỗ hổng một cách thiếu trách nhiệm là có vấn đề

    • Có khả năng dự luật PDPA của chính phủ Ấn Độ đã được thông qua
    • Việc công bố thiếu trách nhiệm có thể gây ra vấn đề pháp lý
    • Khi phát hiện một lỗ hổng nghiêm trọng ở một ngân hàng đa quốc gia lớn 10 năm trước, tôi đã báo cho ngân hàng và giữ bí mật cho đến khi nó được khắc phục

  • Công khai lỗ hổng mà không liên hệ với công ty là hành động thiếu chín chắn

  • Tôi từng phát hiện một lỗ hổng tương tự trong hệ thống đặt vé xe buýt của chính phủ

    • Có thể lấy được thông tin như giới tính, tuổi, tên và số điện thoại
    • Tôi đã báo cáo điều này cho email hỗ trợ của trang web và đơn vị an ninh mạng của bang
    • Đã 7 năm trôi qua mà lỗ hổng đó vẫn còn tồn tại

  • Tôi thích quét mã QR trong đời sống hằng ngày

    • Tôi phát hiện Burger King triển khai giới hạn số lần refill đồ uống bằng mã QR
    • Tôi tự hỏi liệu có thể thay đổi dấu thời gian của mã QR để refill vô hạn hay không

  • Từng có trường hợp vào tù vì dùng dữ liệu thuê bao công khai của AT&T

    • Việc truyền thông gọi đó là hack đã không giúp ích gì