¿Qué hay dentro del menú con código QR de esta cafetería?

(peabee.substack.com)

7 puntos por GN⁺ 2024-09-24 | 3 comentarios | Compartir por WhatsApp

Los hechos impactantes que descubrí después de pedir con un menú por código QR

Hace unos días pedí en una cafetería cerca de mi casa usando un código QR, y en 5 minutos salió la comida sin ninguna verificación
Al abrir el sitio web del código QR, vi que estaba funcionando en un subdominio de dotpe.in
Dotpe es una empresa que ofrece un "full stack food stack" a restaurantes, y Google es uno de sus inversionistas

Problemas encontrados en la API de Dotpe

En el endpoint /api/morder/suggestion/ongoing/items se podía ver toda la lista de alimentos pedidos actualmente en la cafetería
El endpoint /api/morder/suggestion/items/purchase/history entregaba la cantidad de pedidos por menú del mes pasado
Con eso fue posible calcular las ventas mensuales
En el endpoint /api/morder/suggestion/items/past-fav, con solo cambiar el número de teléfono, incluso se podía ver el historial de pedidos anteriores de otras personas
En el endpoint /api/morder/fd/table/state, con solo cambiar el ID de la mesa, se podía ver el nombre, número de teléfono y contenido del pedido de otras personas

Acceso a datos a escala nacional de Dotpe

A través de la API de búsqueda de comercios afiliados de Dotpe, era posible revisar pedidos en tiempo real de más de 37 mil restaurantes en todo el país
También la usan grandes cadenas como Starbucks, Pizza Hut, Haldiram's, Social, Barista y Paradise Biryani
El análisis del historial de ventas del mes pasado mostró que Social Pub registra ventas anuales de más de 20 mil millones de wones, y que se puede identificar el menú más popular por sucursal
La sucursal principal de Paradise Biryani vende más de 70 millones de wones al mes

Resultados de las pruebas y preocupaciones

Tras analizar la API, se confirmó que era posible hacer pedidos de forma remota a la mesa de otra persona
Al probarlo directamente en Social Pub, se generó confusión, pero no escaló a un problema grave
Pero si esto se automatizara a gran escala, podría provocar confusión a nivel nacional
A través del endpoint /api/morder/fd/table/state, era posible acceder al historial de pedidos anteriores de todas las personas que hubieran pedido mediante Dotpe
Si se combina con datos personales, cualquiera podría rastrear los hábitos alimenticios de otras personas, e incluso preocupa la posibilidad de vender esos datos
Que la API estuviera expuesta sin protección parece ser una decisión intencional o producto de la indiferencia de Dotpe

Opinión de GN⁺

La escala y la sensibilidad de los datos que recopila Dotpe son bastante preocupantes. La información relacionada con los hábitos alimenticios de una persona tiene un alto potencial de vulnerar la privacidad
Que cualquiera pueda acceder a información de ventas de restaurantes de todo el país también es problemático desde la perspectiva de proteger secretos comerciales
Parece que servicios similares como Swiggy y Zomato están prestando más atención a la seguridad. Dotpe también necesita reforzar el control de acceso y la autenticación de su API
Al usar servicios de pedido sin contacto basados en códigos QR, hace falta revisar con atención el alcance de la recolección de datos personales y el uso que se les da
A medida que se endurecen las regulaciones de privacidad de datos, es muy probable que las prácticas de Dotpe llamen la atención de las autoridades regulatorias. Parece necesario actuar de forma preventiva

3 comentarios

elddytbt 2024-09-25

Tengo entendido que en China los códigos QR se usan de forma increíblemente generalizada desde hace mucho tiempo.
Por eso he escuchado que hay bastantes delitos en los que alguien va discretamente y cambia el código QR del menú de un local por el suyo. (Porque solo con el código QR no se puede distinguir qué producto es ni a quién pertenece)
Pero nunca había oído que en un caso así hasta el endpoint quedara expuesto y cualquiera pudiera acceder. Me pareció interesante.

xguru 2024-09-24

Parece que borraron la publicación original. Pero en el archivo web todavía quedó todo.
https://archive.is/Z7eIg

GN⁺ 2024-09-24

Comentarios de Hacker News

Avisar en privado sobre la vulnerabilidad antes de hacerla pública es el estándar ético
- Advertir a la empresa antes de divulgar la vulnerabilidad le da la oportunidad de corregir el problema
- No darle tiempo a la empresa para responder puede perjudicar a los pequeños negocios
La mejor experiencia para ordenar es con menú de papel y un mesero
- Es mejor un menú de papel y un mesero que ver a todos en la mesa jugando con el celular
Publicar datos exactos de ingresos de un negocio de varios millones de dólares es una mala idea
- Tras usar menús con QR, que la comida salga con unos cuantos clics es innovador
- Es especialmente útil en lugares donde no esperas un servicio sobresaliente
Es interesante desde un punto de vista técnico, pero la divulgación irresponsable de la vulnerabilidad es un problema
- Es posible que el proyecto de ley PDPA del gobierno de India ya haya sido aprobado
- Una divulgación irresponsable puede causar problemas legales
- Cuando encontré una vulnerabilidad importante en un gran banco multinacional hace 10 años, la reporté al banco y la mantuve en secreto hasta que se resolvió
Hacer pública la vulnerabilidad sin contactar a la empresa fue una actitud inmadura
Encontré una vulnerabilidad similar en el sistema gubernamental de reservas de autobuses
- Se podía obtener información como género, edad, nombre y número de teléfono
- Lo reporté al correo de soporte del sitio web y a la unidad cibernética estatal
- Incluso después de 7 años, esa vulnerabilidad sigue existiendo
Me gusta escanear códigos QR en la vida diaria
- Descubrí cómo Burger King implementa con QR la limitación de recargas de bebidas
- Me pregunto si cambiar la marca de tiempo del código QR permitiría recargas ilimitadas
Hubo un caso de alguien que fue a prisión por usar datos públicos de suscriptores de AT&T
- No ayudó que los medios lo llamaran hackeo