Was steckt im QR-Code-Menü dieses Cafés?

 (peabee.substack.com)
7 Punkte von GN⁺ 2024-09-24 | 3 Kommentare | Auf WhatsApp teilen

Schockierende Fakten, die nach einer Bestellung über ein QR-Code-Menü ans Licht kamen

  • Vor ein paar Tagen habe ich in einem Café in meiner Nähe per QR-Code bestellt, und nach nur 5 Minuten kam das Essen ohne jede Bestätigung an
  • Beim Öffnen der QR-Code-Website zeigte sich, dass sie auf einer dotpe.in-Subdomain betrieben wird
  • Dotpe ist ein Anbieter, der Restaurants einen „full stack food stack“ bereitstellt; zu den Investoren gehört unter anderem Google

In Dotpes API gefundene Probleme

  • Im Endpoint /api/morder/suggestion/ongoing/items ist die komplette Liste der aktuell im Café bestellten Speisen sichtbar
  • Der Endpoint /api/morder/suggestion/items/purchase/history liefert die Anzahl der Bestellungen pro Menüpunkt im vergangenen Monat
  • Dadurch ließ sich der Monatsumsatz berechnen
  • Im Endpoint /api/morder/suggestion/items/past-fav lassen sich durch bloßes Ändern der Telefonnummer sogar die früheren Bestellungen anderer Personen einsehen
  • Im Endpoint /api/morder/fd/table/state kann man durch bloßes Ändern der Tisch-ID den Namen, die Telefonnummer und den Bestellinhalt anderer Personen sehen

Landesweiter Datenzugriff bei Dotpe

  • Über die API zur Suche nach Dotpe-Partnerbetrieben lassen sich Echtzeit-Bestelldaten von rund 37.000 Restaurants im ganzen Land einsehen
  • Auch große Ketten wie Starbucks, Pizza Hut, Haldiram's, Social, Barista und Paradise Biryani nutzen den Dienst
  • Die Analyse der Verkaufsdaten des vergangenen Monats ergab, dass Social Pub einen Jahresumsatz von über 20 Milliarden Won erzielt; außerdem lassen sich die beliebtesten Menüs pro Filiale erkennen
  • Die Hauptfiliale von Paradise Biryani erzielt einen Monatsumsatz von mehr als 70 Millionen Won

Testergebnisse und Bedenken

  • Durch die Analyse der API wurde bestätigt, dass sich aus der Ferne Bestellungen an den Tisch anderer Personen senden lassen
  • Ein direkter Test bei Social Pub verursachte zwar Verwirrung, führte aber nicht zu einem größeren Problem
  • Würde man dies jedoch in großem Maßstab automatisieren, könnte es landesweite Verwerfungen auslösen
  • Über den Endpoint /api/morder/fd/table/state ist Zugriff auf die bisherigen Bestellungen aller Personen möglich, die über Dotpe bestellt haben
  • In Kombination mit personenbezogenen Daten könnte so jeder die Essgewohnheiten anderer nachverfolgen; auch die Möglichkeit eines Datenverkaufs ist besorgniserregend
  • Dass die API so schutzlos offengelegt wurde, wirkt entweder wie eine bewusste Entscheidung oder wie Gleichgültigkeit seitens Dotpe

Meinung von GN⁺

  • Der Umfang und die Sensibilität der von Dotpe gesammelten Daten sind äußerst besorgniserregend. Informationen über persönliche Essgewohnheiten bergen ein erhebliches Risiko für die Privatsphäre
  • Dass jeder auf Umsatzinformationen von Restaurants im ganzen Land zugreifen kann, ist auch unter dem Gesichtspunkt des Schutzes von Geschäftsgeheimnissen problematisch
  • Ähnliche Dienste wie Swiggy und Zomato scheinen der Sicherheit mehr Aufmerksamkeit zu widmen. Auch Dotpe sollte die Zugriffskontrolle und Authentifizierung seiner API verstärken
  • Bei kontaktlosen Bestelldiensten auf QR-Code-Basis sollte genau darauf geachtet werden, in welchem Umfang personenbezogene Daten erfasst und wie diese Daten genutzt werden
  • Da die Regulierung beim Datenschutz zunehmend verschärft wird, ist es sehr wahrscheinlich, dass Dotpes Praktiken die Aufmerksamkeit der Aufsichtsbehörden auf sich ziehen. Ein proaktives Vorgehen erscheint notwendig

Verwandte Beiträge

3 Kommentare

 
elddytbt 2024-09-25

Soweit ich weiß, werden QR-Codes in China schon seit Langem extrem universell genutzt.
Deshalb hört man wohl auch oft von Straftaten, bei denen jemand unauffällig die QR-Codes auf Speisekarten in Läden durch eigene ersetzt. (Denn allein am QR-Code kann man nicht erkennen, für welches Produkt er steht oder wem er gehört.)
Dass dabei aber auf diese Weise sogar der Endpunkt offengelegt ist und jeder darauf zugreifen kann, höre ich zum ersten Mal. Fand ich interessant.
 
xguru 2024-09-24

Der Originalbeitrag wurde wohl gelöscht. Aber im Webarchiv ist noch alles erhalten.
https://archive.is/Z7eIg
 
GN⁺ 2024-09-24
Hacker-News-Kommentare

  • Es ist der ethische Standard, Dotpe vor der Offenlegung der Schwachstelle vertraulich zu informieren

    • Wenn man das Unternehmen vor der Veröffentlichung der Schwachstelle warnt, gibt man ihm die Möglichkeit, das Problem zu beheben
    • Wenn man dem Unternehmen keine Zeit zur Reaktion gibt, kann das kleinen Betrieben schaden

  • Das beste Bestellerlebnis ist eine Papierkarte und die Bestellung über Bedienungspersonal

    • Statt dass alle am Tisch an ihren Handys herumtippen, sind Papierkarte und Bedienungspersonal besser

  • Es ist eine schlechte Idee, genaue Umsatzdaten eines Unternehmens in mehrfacher Millionenhöhe offenzulegen

    • Nach der Nutzung von QR-Menüs wirkt es revolutionär, wenn Essen nach ein paar Klicks erscheint
    • Besonders nützlich ist das an Orten, an denen man keinen besonders guten Service erwartet

  • Aus technischer Sicht interessant, aber die unverantwortliche Offenlegung der Schwachstelle ist problematisch

    • Möglicherweise wurde in Indien bereits der PDPA-Gesetzentwurf verabschiedet
    • Unverantwortliche Offenlegung kann rechtliche Probleme verursachen
    • Als ich vor 10 Jahren eine schwerwiegende Schwachstelle bei einer großen multinationalen Bank entdeckte, meldete ich sie der Bank und hielt sie geheim, bis sie behoben war

  • Die Schwachstelle offenzulegen, ohne das Unternehmen zu kontaktieren, war unreifes Verhalten

  • Ich habe eine ähnliche Schwachstelle im staatlichen Bus-Reservierungssystem gefunden

    • Ich konnte Informationen wie Geschlecht, Alter, Namen und Telefonnummern abrufen
    • Ich habe dies an die Support-E-Mail der Website und an die Cybercrime-Stelle des Bundesstaats gemeldet
    • Auch nach 7 Jahren besteht diese Schwachstelle noch immer

  • Ich scanne im Alltag gern QR-Codes

    • Ich habe entdeckt, wie Burger King die Begrenzung von Getränkenachfüllungen per QR-Code umsetzt
    • Ich frage mich, ob man durch Ändern des Zeitstempels im QR-Code unbegrenzte Nachfüllungen ermöglichen könnte

  • Es gibt einen Fall, in dem jemand wegen der Nutzung öffentlicher Kundendaten von AT&T im Gefängnis landete

    • Dass die Medien das als Hacking bezeichneten, war nicht hilfreich