Bu kafenin QR kodlu menüsünde neler var?

 (peabee.substack.com)
7 puan yazan GN⁺ 2024-09-24 | 3 yorum | WhatsApp'ta paylaş

QR kod menüyle sipariş verdikten sonra ortaya çıkan sarsıcı gerçekler

  • Birkaç gün önce evimin yakınındaki bir kafede QR kodla sipariş verdim; 5 dakika içinde hiçbir doğrulama yapılmadan yemek geldi
  • QR kod web sitesini açınca bunun dotpe.in alt alan adında çalıştığını gördüm
  • Dotpe, restoranlara "full stack food stack" sunan bir şirket ve yatırımcıları arasında Google da var

Dotpe API'sinde bulunan sorunlar

  • /api/morder/suggestion/ongoing/items endpoint'inde, ilgili kafede o anda verilen tüm siparişlerin yemek listesi görülebiliyor
  • /api/morder/suggestion/items/purchase/history endpoint'i, geçen ay her menü öğesinin kaç kez sipariş edildiğini veriyor
  • Bu sayede aylık ciro hesaplanabiliyordu
  • /api/morder/suggestion/items/past-fav endpoint'inde yalnızca telefon numarasını değiştirerek başkalarının geçmiş sipariş kayıtları da görülebiliyor
  • /api/morder/fd/table/state endpoint'inde yalnızca masa ID'sini değiştirerek başka kişilerin adı, telefon numarası ve sipariş içeriği görülebiliyor

Dotpe üzerinden ülke çapında veri erişimi

  • Dotpe franchise arama API'si üzerinden ülke genelindeki 37 binden fazla restoranın gerçek zamanlı sipariş kayıtları görülebiliyor
  • Starbucks, Pizza Hut, Haldiram's, Social, Barista, Paradise Biryani gibi büyük zincirler de bunu kullanıyor
  • Geçen ayın satış kayıtları analiz edildiğinde Social Pub'ın yıllık 20 milyar wonun üzerinde ciro yaptığı ve şube bazında popüler menülerin anlaşılabildiği görülüyor
  • Paradise Biryani'nin merkez şubesi aylık 70 milyon wonun üzerinde ciro yapıyor

Test sonuçları ve endişeler

  • API analiz edilerek başkalarının masasına uzaktan sipariş göndermenin mümkün olduğu doğrulandı
  • Social Pub'da doğrudan denendiğinde karışıklık yaratsa da büyük bir soruna dönüşmedi
  • Ancak bunun büyük ölçekte otomatikleştirilmesi ülke çapında kaosa yol açabilir
  • /api/morder/fd/table/state endpoint'i üzerinden, Dotpe aracılığıyla sipariş vermiş herkesin geçmiş sipariş kayıtlarına erişmek mümkün
  • Kişisel veriler birleştirildiğinde herkes başkalarının yeme alışkanlıklarını takip edebilir; verilerin satılma ihtimali de endişe yaratıyor
  • API'nin bu kadar savunmasız şekilde açıkta olması, kasıtlı bir tercih ya da Dotpe'nin ilgisizliğinin sonucu gibi görünüyor

GN⁺'nin görüşü

  • Dotpe'nin topladığı verilerin ölçeği ve hassasiyeti ciddi biçimde endişe verici. Bir kişinin yeme alışkanlıklarına dair bilgiler, mahremiyet ihlali riski taşıyor
  • Herkesin ülke genelindeki restoranların ciro bilgilerine erişebilmesi, şirketlerin ticari sırlarının korunması açısından da sorunlu
  • Benzer hizmet sunan Swiggy ve Zomato gibi şirketler güvenliğe daha fazla önem veriyor gibi görünüyor. Dotpe'nin de API erişim kontrolünü ve kimlik doğrulamayı güçlendirmesi gerekiyor
  • QR kod tabanlı temassız sipariş hizmetlerini kullanırken kişisel verilerin hangi kapsamda toplandığına ve nasıl kullanıldığına dikkatle bakmak gerekiyor
  • Veri mahremiyeti düzenlemeleri giderek sıkılaştığı için Dotpe'nin uygulamalarının düzenleyici kurumların dikkatini çekme ihtimali yüksek görünüyor. Proaktif önlem alınması gerekiyor

İlgili okumalar

3 yorum

 
elddytbt 2024-09-25

Bildiğim kadarıyla Çin'de QR kodlar uzun zamandır inanılmaz derecede yaygın ve çok amaçlı kullanılıyor.
Bu yüzden, gizlice gidip bir işletmenin menü QR kodunu kendi QR koduyla değiştirme şeklindeki suçların da epey yaygın olduğunu duymuştum. (Çünkü yalnızca QR koda bakarak bunun hangi ürünü ifade ettiğini ya da kime ait olduğunu ayırt etmek mümkün değil.)
Ama bu şekilde uç noktanın tamamen açığa çıkması ve herkesin erişebilmesi olayını ise ilk kez duyuyorum. İlginçti.
 
xguru 2024-09-24

Orijinal gönderi silinmiş görünüyor. Ama web arşivinde hepsi duruyor. https://archive.is/Z7eIg
 
GN⁺ 2024-09-24
Hacker News görüşleri

  • Dotpe'deki güvenlik açığını açıklamadan önce bunu özel olarak bildirmek etik standarttır

    • Açığı kamuya açıklamadan önce şirketi uyarmak, sorunu çözmeleri için fırsat verir
    • Şirkete yanıt vermesi için zaman tanımamak küçük işletmelere zarar verebilir

  • En iyi sipariş deneyimi, kağıt menü ve garson aracılığıyla sipariş vermektir

    • Masada herkesin telefonuyla uğraşmasındansa kağıt menü ve garson daha iyidir

  • Milyonlarca dolarlık bir işletmenin net gelir verilerini ifşa etmek kötü bir fikirdir

    • QR menüyü kullanma deneyimime göre, birkaç tıklamayla yemeğin gelmesi devrim niteliğinde
    • Özellikle olağanüstü hizmet beklemediğiniz yerlerde kullanışlıdır

  • Teknik açıdan ilginç, ancak güvenlik açığının sorumsuzca açıklanması sorunludur

    • Hindistan hükümetinin PDPA yasa tasarısını kabul etmiş olması mümkün
    • Sorumsuz açıklama hukuki sorunlara yol açabilir
    • 10 yıl önce büyük çok uluslu bir bankada kritik bir açık bulduğumda, bunu bankaya bildirdim ve düzeltilene kadar gizli tuttum

  • Şirketle iletişime geçmeden güvenlik açığını açıklamak olgunlaşmamış bir davranıştır

  • Hükümetin otobüs rezervasyon sisteminde benzer bir açık keşfetmiştim

    • Cinsiyet, yaş, ad, telefon numarası gibi bilgilere erişilebiliyordu
    • Bunu sitenin destek e-postasına ve eyalet siber suç birimine bildirdim
    • Aradan 7 yıl geçmesine rağmen açık hâlâ duruyor

  • Günlük hayatta QR kod taramayı seviyorum

    • Burger King'in içecek yeniden dolum sınırını QR kodla nasıl uyguladığını fark ettim
    • QR kodun zaman damgasını değiştirerek sınırsız yeniden dolumu mümkün kılıp kılamayacağımı merak ediyorum

  • AT&T'nin herkese açık abone verilerini kullandığı için hapse giren bir vaka var

    • Medyanın buna hack demesi yardımcı olmadı