เมนู QR โค้ดของคาเฟ่นี้มีอะไรซ่อนอยู่บ้าง?

 (peabee.substack.com)
7 คะแนน โดย GN⁺ 2024-09-24 | 3 ความคิดเห็น | แชร์ทาง WhatsApp

ข้อเท็จจริงชวนช็อกจากการสั่งอาหารผ่านเมนู QR โค้ดที่เพิ่งรู้หลังสั่ง

  • ไม่กี่วันก่อนสั่งอาหารด้วย QR โค้ดที่คาเฟ่ใกล้บ้าน แล้วอาหารก็ออกมาใน 5 นาทีโดยไม่มีการตรวจสอบใดๆ
  • เมื่อลองเปิดเว็บไซต์จาก QR โค้ด พบว่ารันอยู่บนซับโดเมนของ dotpe.in
  • Dotpe เป็นบริษัทที่ให้บริการ "full stack food stack" แก่ร้านอาหาร และ Google ก็เป็นหนึ่งในนักลงทุน

ปัญหาที่พบใน API ของ Dotpe

  • ที่เอ็นด์พอยต์ /api/morder/suggestion/ongoing/items สามารถเห็นรายการอาหารทั้งหมดที่กำลังถูกสั่งในคาเฟ่นั้นได้
  • ที่เอ็นด์พอยต์ /api/morder/suggestion/items/purchase/history มีข้อมูลจำนวนครั้งที่แต่ละเมนูถูกสั่งในเดือนที่ผ่านมา
  • จากข้อมูลนี้จึงสามารถคำนวณรายได้ต่อเดือนได้
  • ที่เอ็นด์พอยต์ /api/morder/suggestion/items/past-fav หากเปลี่ยนแค่หมายเลขโทรศัพท์ ก็สามารถดูประวัติการสั่งซื้อในอดีตของคนอื่นได้
  • ที่เอ็นด์พอยต์ /api/morder/fd/table/state หากเปลี่ยนแค่ table ID ก็สามารถดูชื่อ เบอร์โทร และรายละเอียดการสั่งซื้อของคนอื่นได้

การเข้าถึงข้อมูลระดับทั่วประเทศของ Dotpe

  • ผ่าน API ค้นหาร้านพาร์ตเนอร์ของ Dotpe สามารถตรวจดูรายการสั่งซื้อแบบเรียลไทม์ของร้านอาหารกว่า 37,000 แห่งทั่วประเทศได้
  • เชนขนาดใหญ่อย่าง Starbucks, Pizza Hut, Haldiram's, Social, Barista, Paradise Biryani ก็ใช้งานอยู่ด้วย
  • จากการวิเคราะห์ข้อมูลการขายของเดือนที่ผ่านมา พบว่า Social Pub มียอดขายต่อปีเกิน 20,000 ล้านวอน และยังดูได้ว่าแต่ละสาขาเมนูไหนขายดีที่สุด
  • สาขาหลักของ Paradise Biryani มียอดขายต่อเดือนมากกว่า 70 ล้านวอน

ผลการทดสอบและข้อกังวล

  • จากการวิเคราะห์ API พบว่าสามารถส่งออเดอร์จากระยะไกลไปยังโต๊ะของคนอื่นได้
  • เมื่อลองทำจริงที่ Social Pub ก็ทำให้เกิดความสับสน แต่ไม่ได้ลุกลามเป็นปัญหาใหญ่
  • แต่หากทำให้เป็นระบบอัตโนมัติในวงกว้าง ก็อาจก่อความวุ่นวายทั่วประเทศได้
  • ผ่านเอ็นด์พอยต์ /api/morder/fd/table/state ยังสามารถเข้าถึงประวัติการสั่งซื้อย้อนหลังของทุกคนที่เคยสั่งผ่าน dotpe ได้
  • หากนำไปรวมกับข้อมูลส่วนบุคคล ใครๆ ก็อาจติดตามพฤติกรรมการกินของผู้อื่นได้ และยังน่ากังวลเรื่องความเป็นไปได้ในการขายข้อมูล
  • การที่ API ถูกเปิดเผยแบบไร้การป้องกันเช่นนี้ ดูเหมือนจะเป็นการตัดสินใจโดยเจตนา หรือไม่ก็เป็นเพราะ Dotpe ไม่ใส่ใจ

ความเห็นของ GN⁺

  • ขนาดและความอ่อนไหวของข้อมูลที่ Dotpe เก็บรวบรวมอยู่นั้นน่ากังวลอย่างมาก ข้อมูลเกี่ยวกับพฤติกรรมการกินของบุคคลมีความเสี่ยงต่อการละเมิดความเป็นส่วนตัวสูง
  • การที่ใครก็เข้าถึงข้อมูลรายได้ของร้านอาหารทั่วประเทศได้ ก็เป็นปัญหาในมุมการปกป้องความลับทางธุรกิจของบริษัทเช่นกัน
  • บริการคล้ายกันอย่าง Swiggy และ Zomato ดูเหมือนจะให้ความสำคัญกับความปลอดภัยมากกว่า Dotpe เองก็ควรเสริมการควบคุมการเข้าถึง API และการยืนยันตัวตนให้เข้มงวดยิ่งขึ้น
  • เมื่อใช้บริการสั่งอาหารแบบไร้การสัมผัสผ่าน QR โค้ด จำเป็นต้องพิจารณาอย่างรอบคอบว่ามีการเก็บข้อมูลส่วนบุคคลมากน้อยเพียงใด และข้อมูลจะถูกนำไปใช้อย่างไร
  • ในช่วงที่กฎระเบียบด้านความเป็นส่วนตัวของข้อมูลกำลังเข้มงวดขึ้น แนวปฏิบัติของ Dotpe มีแนวโน้มสูงที่จะได้รับความสนใจจากหน่วยงานกำกับดูแล จึงควรมีการรับมือเชิงรุก

บทความที่เกี่ยวข้อง

3 ความคิดเห็น

 
elddytbt 2024-09-25

ฉันเข้าใจว่าที่จีนมีการใช้ QR โค้ดกันอย่างแพร่หลายมากมาตั้งแต่ก่อนแล้ว
ดังนั้นเลยได้ยินมาว่ามีอาชญากรรมแบบแอบไปเปลี่ยน QR โค้ดเมนูของร้านเป็น QR ของตัวเองอยู่บ่อย ๆ (เพราะดูจากแค่ QR โค้ดอย่างเดียว เราแยกไม่ออกว่าหมายถึงสินค้าอะไรหรือเป็นของใคร)
แต่กรณีที่ถึงขั้นเปิดเผยแม้กระทั่ง endpoint และให้ใครก็เข้าถึงได้แบบนี้ เพิ่งเคยได้ยินเป็นครั้งแรกเหมือนกันครับ น่าสนใจดี
 
xguru 2024-09-24

ต้นฉบับถูกลบไปแล้วนะครับ แต่ในเว็บ archive ยังอยู่ครบเลย
https://archive.is/Z7eIg
 
GN⁺ 2024-09-24
ความเห็นจาก Hacker News

  • การแจ้งช่องโหว่แบบไม่เปิดเผยต่อสาธารณะก่อนเผยแพร่เป็นมาตรฐานด้านจริยธรรม

    • การเตือนบริษัทก่อนเปิดเผยช่องโหว่จะทำให้มีโอกาสแก้ปัญหา
    • หากไม่ให้เวลาบริษัทตอบสนอง อาจสร้างความเสียหายให้ธุรกิจขนาดเล็กได้

  • ประสบการณ์การสั่งอาหารที่ดีที่สุดคือเมนูกระดาษและการสั่งผ่านพนักงานเสิร์ฟ

    • เมนูกระดาษและพนักงานเสิร์ฟดีกว่าการที่ทุกคนบนโต๊ะก้มเล่นโทรศัพท์

  • การเปิดเผยข้อมูลรายได้ที่แม่นยำของธุรกิจมูลค่าหลายล้านดอลลาร์เป็นความคิดที่ไม่ดี

    • จากประสบการณ์ที่เคยใช้เมนู QR การที่อาหารออกมาหลังคลิกไม่กี่ครั้งถือว่าเป็นนวัตกรรม
    • มีประโยชน์โดยเฉพาะในสถานที่ที่ไม่ได้คาดหวังบริการที่โดดเด่นมาก

  • น่าสนใจในมุมมองทางเทคนิค แต่การเปิดเผยช่องโหว่อย่างไม่รับผิดชอบเป็นปัญหา

    • เป็นไปได้ว่าร่างกฎหมาย PDPA ของรัฐบาลอินเดียได้ผ่านแล้ว
    • การเปิดเผยอย่างไม่รับผิดชอบอาจก่อให้เกิดปัญหาทางกฎหมาย
    • เมื่อ 10 ปีก่อนเคยพบช่องโหว่สำคัญในธนาคารข้ามชาติรายใหญ่ และได้รายงานให้ธนาคารทราบพร้อมเก็บเป็นความลับจนกว่าจะแก้ไขเสร็จ

  • การเปิดเผยช่องโหว่โดยไม่ติดต่อบริษัทก่อนเป็นการกระทำที่ไม่เป็นผู้ใหญ่

  • เคยพบช่องโหว่ลักษณะคล้ายกันในระบบจองรถบัสของภาครัฐ

    • สามารถเข้าถึงข้อมูลอย่างเพศ อายุ ชื่อ และหมายเลขโทรศัพท์ได้
    • ได้รายงานเรื่องนี้ไปยังอีเมลฝ่ายสนับสนุนของเว็บไซต์และหน่วยไซเบอร์ของรัฐ
    • ผ่านไป 7 ปีแล้ว ช่องโหว่นั้นก็ยังคงมีอยู่

  • ชอบสแกน QR โค้ดในชีวิตประจำวัน

    • เคยพบว่า Burger King ใช้ QR โค้ดเพื่อจำกัดการเติมเครื่องดื่ม
    • สงสัยว่าสามารถเปลี่ยน timestamp ใน QR โค้ดเพื่อให้เติมได้ไม่จำกัดหรือไม่

  • มีกรณีที่คนต้องติดคุกจากการใช้ข้อมูลสมาชิกสาธารณะของ AT&T

    • การที่สื่อเรียกสิ่งนี้ว่าแฮ็กไม่ได้ช่วยให้อะไรดีขึ้น