O que há no menu por QR code deste café?

 (peabee.substack.com)
7 pontos por GN⁺ 2024-09-24 | 3 comentários | Compartilhar no WhatsApp

Fatos chocantes descobertos após pedir por um menu com QR code

  • Alguns dias atrás, fiz um pedido por QR code em um café perto de casa e, em apenas 5 minutos, a comida saiu sem qualquer confirmação
  • Ao abrir o site do QR code, vi que ele operava em um subdomínio dotpe.in
  • A Dotpe é uma empresa que oferece uma "full stack food stack" para restaurantes, e o Google é um dos investidores

Problemas encontrados na API da Dotpe

  • No endpoint /api/morder/suggestion/ongoing/items, era possível ver toda a lista de pedidos em andamento no café
  • No endpoint /api/morder/suggestion/items/purchase/history, eram fornecidas as quantidades de pedidos de cada item do menu no último mês
  • Com isso, foi possível calcular o faturamento mensal
  • No endpoint /api/morder/suggestion/items/past-fav, bastava trocar o número de telefone para ver até o histórico de pedidos de outras pessoas
  • No endpoint /api/morder/fd/table/state, bastava trocar o ID da mesa para ver o nome, o número de telefone e os itens pedidos por outras pessoas

Acesso a dados em escala nacional da Dotpe

  • Pela API de busca de estabelecimentos afiliados da Dotpe, era possível verificar pedidos em tempo real de cerca de 37 mil restaurantes em todo o país
  • Grandes redes como Starbucks, Pizza Hut, Haldiram's, Social, Barista e Paradise Biryani também usam o serviço
  • Pela análise das vendas do último mês, o pub Social registrou faturamento anual superior a 20 bilhões de won, e era possível identificar os itens mais populares por unidade
  • A unidade principal da Paradise Biryani faturava mais de 70 milhões de won por mês

Resultados dos testes e preocupações

  • Ao analisar a API, confirmou-se que era possível fazer pedidos remotamente na mesa de outras pessoas
  • Ao testar isso diretamente no Social pub, houve confusão, mas a situação não evoluiu para algo mais grave
  • Porém, se isso fosse automatizado em larga escala, poderia causar confusão em nível nacional
  • Pelo endpoint /api/morder/fd/table/state, era possível acessar o histórico de pedidos de qualquer pessoa que tivesse feito pedidos via Dotpe
  • Ao combinar isso com dados pessoais, qualquer um poderia rastrear os hábitos alimentares de outras pessoas, e há preocupação até com a possibilidade de venda desses dados
  • O fato de a API estar exposta sem proteção parece ser uma decisão intencional ou fruto de descaso da Dotpe

Opinião do GN⁺

  • A escala e a sensibilidade dos dados coletados pela Dotpe são bastante preocupantes. Informações relacionadas aos hábitos alimentares das pessoas têm grande potencial de violação de privacidade
  • O fato de qualquer pessoa poder acessar informações de faturamento de restaurantes em todo o país também é problemático do ponto de vista da proteção de segredos comerciais
  • Serviços semelhantes, como Swiggy e Zomato, aparentemente dão mais atenção à segurança. A Dotpe também precisa reforçar o controle de acesso e a autenticação da API
  • Ao usar serviços de pedido sem contato baseados em QR code, é preciso observar com atenção o escopo da coleta de dados pessoais e como esses dados são utilizados
  • Com o fortalecimento das regulações de privacidade de dados, é muito provável que as práticas da Dotpe atraiam a atenção das autoridades regulatórias. Uma resposta preventiva parece necessária

Leituras relacionadas

3 comentários

 
elddytbt 2024-09-25

Pelo que sei, na China os códigos QR já são usados de forma extremamente ampla há muito tempo.
Por isso, ouvi dizer que há muitos crimes em que alguém vai discretamente até um estabelecimento e troca o QR do cardápio pelo seu próprio QR. (Porque, só pelo código QR, não dá para identificar que produto ele representa nem de quem é.)
Mas desse jeito, com até o endpoint exposto e acessível a qualquer pessoa, também é a primeira vez que ouço falar. Foi interessante.
 
xguru 2024-09-24

O post original foi apagado. Mas no Web Archive ainda está tudo lá
https://archive.is/Z7eIg
 
GN⁺ 2024-09-24
Comentários do Hacker News

  • É padrão ético informar a vulnerabilidade de forma privada antes de divulgá-la publicamente para a Dotpe

    • Avisar a empresa antes da divulgação dá a ela a chance de corrigir o problema
    • Não dar tempo para a empresa reagir pode prejudicar pequenos negócios

  • A melhor experiência de pedido é com cardápio de papel e atendimento por garçom

    • É melhor ter cardápio de papel e garçom do que todo mundo na mesa mexendo no celular

  • Expor dados exatos de faturamento de um negócio de vários milhões de dólares é uma má ideia

    • Pela experiência com menus em QR, conseguir comida com alguns cliques é algo revolucionário
    • É especialmente útil em lugares onde não se espera um serviço excepcional

  • É interessante do ponto de vista técnico, mas a divulgação irresponsável da vulnerabilidade é um problema

    • É possível que a lei PDPA do governo indiano já tenha sido aprovada
    • Uma divulgação irresponsável pode gerar problemas legais
    • Quando encontraram uma vulnerabilidade séria em um grande banco multinacional há 10 anos, relataram ao banco e mantiveram sigilo até ela ser corrigida

  • Divulgar a vulnerabilidade sem entrar em contato com a empresa foi uma atitude imatura

  • Encontraram uma vulnerabilidade semelhante no sistema governamental de reserva de ônibus

    • Foi possível obter informações como gênero, idade, nome e número de telefone
    • Isso foi reportado ao e-mail de suporte do site e à célula cibernética estadual
    • Mesmo depois de 7 anos, a vulnerabilidade ainda existe

  • Gosta de escanear códigos QR no dia a dia

    • Descobriu como o Burger King implementa pelo QR code a limitação de refil de bebidas
    • Fica a dúvida se seria possível alterar o timestamp do QR code para permitir refis infinitos

  • Houve um caso de alguém que foi preso por usar dados públicos de assinantes da AT&T

    • A mídia chamar isso de hacking não ajudou em nada