Apa yang tersembunyi di menu kode QR kafe ini?

 (peabee.substack.com)
7 poin oleh GN⁺ 2024-09-24 | 3 komentar | Bagikan ke WhatsApp

Fakta-fakta mengejutkan yang diketahui setelah memesan lewat menu kode QR

  • Beberapa hari lalu, saya memesan di sebuah kafe dekat rumah lewat kode QR, dan dalam 5 menit makanan datang tanpa verifikasi apa pun
  • Saat membuka situs web kode QR tersebut, ternyata dijalankan di subdomain dotpe.in
  • Dotpe adalah perusahaan yang menyediakan "full stack food stack" untuk restoran, dan Google termasuk salah satu investornya

Masalah-masalah yang ditemukan di API Dotpe

  • Di endpoint /api/morder/suggestion/ongoing/items, seluruh daftar makanan yang sedang dipesan di kafe itu dapat terlihat
  • Di endpoint /api/morder/suggestion/items/purchase/history, tersedia jumlah pesanan tiap menu pada bulan lalu
  • Dari sini, pendapatan bulanan bisa dihitung
  • Di endpoint /api/morder/suggestion/items/past-fav, cukup mengganti nomor telepon untuk melihat riwayat pesanan lama milik orang lain
  • Di endpoint /api/morder/fd/table/state, cukup mengganti ID meja untuk melihat nama, nomor telepon, dan isi pesanan orang lain

Akses data Dotpe dalam skala nasional

  • Melalui API pencarian merchant Dotpe, dimungkinkan melihat riwayat pesanan real-time dari sekitar 37 ribu restoran di seluruh negeri
  • Rantai besar seperti Starbucks, Pizza Hut, Haldiram's, Social, Barista, dan Paradise Biryani juga menggunakannya
  • Hasil analisis penjualan bulan lalu menunjukkan Social Pub mencatat pendapatan tahunan lebih dari 20 miliar rupee, dan menu populer per cabang juga bisa diketahui
  • Gerai utama Paradise Biryani mencatat pendapatan lebih dari 70 juta won per bulan

Hasil pengujian dan hal-hal yang mengkhawatirkan

  • Dengan menganalisis API, dipastikan bahwa pesanan dapat dimasukkan dari jarak jauh ke meja orang lain
  • Saat dicoba langsung di Social Pub, memang sempat menimbulkan kebingungan tetapi tidak berkembang menjadi masalah besar
  • Namun jika ini diotomatisasi dalam skala besar, hal itu dapat memicu kekacauan secara nasional
  • Melalui endpoint /api/morder/fd/table/state, riwayat pesanan lama dari semua orang yang pernah memesan lewat Dotpe dapat diakses
  • Jika digabungkan dengan data pribadi, siapa pun bisa melacak pola makan orang lain, dan ada juga kekhawatiran soal kemungkinan penjualan data
  • API yang terekspos tanpa perlindungan tampaknya merupakan keputusan yang disengaja atau akibat ketidakpedulian Dotpe

Opini GN⁺

  • Skala dan sensitivitas data yang dikumpulkan Dotpe sangat mengkhawatirkan. Informasi terkait pola makan pribadi berpotensi menimbulkan pelanggaran privasi
  • Fakta bahwa siapa pun dapat mengakses informasi pendapatan restoran di seluruh negeri juga menjadi masalah dari sisi perlindungan rahasia bisnis perusahaan
  • Layanan serupa seperti Swiggy dan Zomato tampaknya lebih memperhatikan keamanan. Dotpe juga perlu memperketat kontrol akses API dan autentikasi
  • Saat menggunakan layanan pemesanan tanpa kontak berbasis kode QR, perlu mencermati dengan saksama cakupan pengumpulan data pribadi dan bagaimana data itu digunakan
  • Karena regulasi privasi data makin diperketat, praktik Dotpe sangat mungkin menarik perhatian regulator. Tindakan proaktif tampaknya diperlukan

Bacaan terkait

3 komentar

 
elddytbt 2024-09-25

Setahu saya, di Tiongkok QR code memang sudah sejak lama digunakan dengan sangat luas.
Jadi saya dengar cukup banyak kejahatan dengan cara diam-diam datang lalu mengganti QR code menu toko dengan QR milik pelaku sendiri. (Karena hanya dari QR code saja, kita tidak bisa membedakan itu merujuk ke produk apa atau milik siapa.)
Tapi kalau sampai endpoint-nya terbuka seperti ini dan bisa diakses siapa saja, ini juga pertama kalinya saya dengar. Menarik.
 
xguru 2024-09-24

Tampaknya tulisan aslinya sudah dihapus. Tapi di web archive semuanya masih tersimpan.
https://archive.is/Z7eIg
 
GN⁺ 2024-09-24
Opini Hacker News

  • Memberi tahu Dotpe secara privat sebelum mengungkap kerentanannya adalah standar etika

    • Memperingatkan perusahaan sebelum memublikasikan kerentanan memberi mereka kesempatan untuk memperbaiki masalah
    • Jika perusahaan tidak diberi waktu untuk merespons, hal itu bisa merugikan usaha kecil

  • Pengalaman memesan terbaik adalah dengan menu kertas dan memesan lewat pelayan

    • Menu kertas dan pelayan lebih baik daripada semua orang di meja sibuk memainkan ponselnya

  • Mengungkap data pendapatan yang akurat dari bisnis bernilai jutaan dolar adalah ide buruk

    • Setelah mencoba menu QR, mengeluarkan makanan hanya dengan beberapa klik terasa inovatif
    • Ini sangat berguna terutama di tempat yang tidak diharapkan memberikan layanan yang luar biasa

  • Menarik dari sudut pandang teknis, tetapi pengungkapan kerentanan yang tidak bertanggung jawab adalah masalah

    • Ada kemungkinan RUU PDPA pemerintah India telah disahkan
    • Pengungkapan yang tidak bertanggung jawab dapat menimbulkan masalah hukum
    • Ketika menemukan kerentanan besar di bank multinasional besar 10 tahun lalu, saya melaporkannya ke bank dan merahasiakannya sampai diperbaiki

  • Mengungkap kerentanan tanpa menghubungi perusahaan adalah tindakan yang tidak dewasa

  • Saya pernah menemukan kerentanan serupa di sistem pemesanan bus milik pemerintah

    • Saya bisa mendapatkan informasi seperti jenis kelamin, usia, nama, dan nomor telepon
    • Saya melaporkannya ke email dukungan situs web dan unit siber negara bagian
    • Bahkan setelah 7 tahun, kerentanan itu masih tetap ada sampai sekarang

  • Saya suka memindai kode QR dalam kehidupan sehari-hari

    • Saya menemukan cara Burger King menerapkan pembatasan isi ulang minuman dengan kode QR
    • Saya penasaran apakah mengubah timestamp pada kode QR bisa memungkinkan isi ulang tanpa batas

  • Ada kasus seseorang masuk penjara karena menggunakan data pelanggan publik milik AT&T

    • Tidak membantu bahwa media menyebutnya sebagai peretasan