इस कैफ़े के QR कोड मेनू में आखिर क्या है?

 (peabee.substack.com)
7 पॉइंट द्वारा GN⁺ 2024-09-24 | 3 टिप्पणियां | WhatsApp पर शेयर करें

QR कोड मेनू से ऑर्डर करने के बाद पता चले चौंकाने वाले तथ्य

  • कुछ दिन पहले घर के पास एक कैफ़े में QR कोड से ऑर्डर किया, तो 5 मिनट में बिना किसी पुष्टि के खाना आ गया
  • QR कोड वेबसाइट खोलने पर पता चला कि यह dotpe.in subdomain पर चल रही है
  • Dotpe एक ऐसी कंपनी है जो रेस्तरां को "full stack food stack" देती है, और Google इसके निवेशकों में से एक है

Dotpe के API में मिली समस्याएँ

  • /api/morder/suggestion/ongoing/items endpoint पर मौजूदा कैफ़े में ऑर्डर किए गए खाने की पूरी सूची दिखाई देती है
  • /api/morder/suggestion/items/purchase/history endpoint पर पिछले महीने हर मेनू आइटम के ऑर्डर की संख्या मिलती है
  • इससे एक महीने की बिक्री का हिसाब लगाया जा सकता था
  • /api/morder/suggestion/items/past-fav endpoint में सिर्फ फोन नंबर बदलकर किसी और के पुराने ऑर्डर इतिहास तक भी पहुँचा जा सकता है
  • /api/morder/fd/table/state endpoint में सिर्फ table ID बदलकर दूसरे लोगों का नाम, फोन नंबर और ऑर्डर विवरण देखा जा सकता है

Dotpe के जरिए राष्ट्रीय स्तर के डेटा तक पहुँच

  • Dotpe के merchant search API के जरिए देशभर के लगभग 37,000 रेस्तरां के real-time ऑर्डर विवरण देखे जा सकते हैं
  • Starbucks, Pizza Hut, Haldiram's, Social, Barista, Paradise Biryani जैसी बड़ी chain भी इसका इस्तेमाल कर रही हैं
  • पिछले महीने की बिक्री के विश्लेषण से पता चला कि Social Pub का सालाना राजस्व 200 करोड़ से अधिक है, और branch के हिसाब से लोकप्रिय मेनू भी समझे जा सकते हैं
  • Paradise Biryani की मुख्य शाखा का मासिक राजस्व 7 करोड़ won से अधिक है

परीक्षण के नतीजे और चिंताएँ

  • API का विश्लेषण करके यह पुष्टि हुई कि किसी और की table पर remotely ऑर्डर भेजना संभव है
  • Social Pub में इसे सीधे आज़माने पर थोड़ी गड़बड़ी हुई, लेकिन मामला बड़े स्तर पर नहीं बढ़ा
  • लेकिन अगर इसे बड़े पैमाने पर automate किया जाए, तो देशभर में अव्यवस्था फैल सकती है
  • /api/morder/fd/table/state endpoint के जरिए dotpe के माध्यम से ऑर्डर करने वाले सभी लोगों के पुराने ऑर्डर इतिहास तक पहुँचना संभव है
  • अगर इसे व्यक्तिगत जानकारी से जोड़ा जाए, तो कोई भी किसी और की खाने-पीने की आदतों को track कर सकता है, और डेटा बेचे जाने की आशंका भी है
  • API का इस तरह बिना सुरक्षा के खुला होना या तो जानबूझकर लिया गया फैसला लगता है, या फिर Dotpe की लापरवाही

GN⁺ की राय

  • Dotpe जिस स्तर और संवेदनशीलता का डेटा इकट्ठा कर रहा है, वह गंभीर चिंता का विषय है। किसी व्यक्ति की खाने-पीने की आदतों से जुड़ी जानकारी में privacy उल्लंघन की बड़ी आशंका है
  • यह बात भी समस्या है कि कोई भी देशभर के रेस्तरां की बिक्री संबंधी जानकारी तक पहुँच सकता है, क्योंकि यह कंपनियों के business secrets की सुरक्षा से जुड़ा मुद्दा है
  • इसी तरह की सेवाएँ देने वाले Swiggy, Zomato आदि सुरक्षा पर अधिक ध्यान देते दिखते हैं। Dotpe को भी API access control और authentication मज़बूत करने की ज़रूरत है
  • QR कोड आधारित contactless ordering service का इस्तेमाल करते समय यह ध्यान से देखना चाहिए कि कौन-सी व्यक्तिगत जानकारी जुटाई जा रही है और उसका उपयोग कैसे होगा
  • जब data privacy regulation लगातार सख्त हो रहे हैं, तब Dotpe की प्रथाएँ regulatory authorities का ध्यान आकर्षित कर सकती हैं। इसे लेकर पहले से कदम उठाने की ज़रूरत है

संबंधित पढ़ाई

3 टिप्पणियां

 
elddytbt 2024-09-25

जहाँ तक मुझे पता है, चीन में QR कोड बहुत पहले से ही बेहद व्यापक रूप से इस्तेमाल होते रहे हैं।
इसी वजह से चुपके से जाकर किसी दुकान के मेन्यू QR कोड को अपने QR कोड से बदल देने जैसे अपराध भी काफ़ी होते हैं, ऐसा मैंने सुना है। (क्योंकि सिर्फ़ QR कोड देखकर यह पहचानना मुश्किल होता है कि वह किस प्रोडक्ट के लिए है या किसका है।)
लेकिन इस तरह तो endpoint तक ही उजागर हो और कोई भी उसे access कर सके—ऐसी बात मैंने भी पहली बार सुनी। दिलचस्प लगा।
 
xguru 2024-09-24

मूल पोस्ट हटा दी गई है। लेकिन web archive में सब कुछ अब भी मौजूद है।
https://archive.is/Z7eIg
 
GN⁺ 2024-09-24
Hacker News राय

  • Dotpe की vulnerability को सार्वजनिक करने से पहले निजी तौर पर सूचित करना नैतिक मानक है

    • vulnerability को उजागर करने से पहले कंपनी को चेतावनी देने से उसे समस्या ठीक करने का मौका मिलता है
    • अगर कंपनी को प्रतिक्रिया देने का समय न दिया जाए, तो छोटे व्यवसायों को नुकसान हो सकता है

  • सबसे अच्छा ordering experience कागज़ के menu और waiter के ज़रिये ऑर्डर करना है

    • टेबल पर सबके फोन में उलझे रहने से कागज़ का menu और waiter बेहतर हैं

  • कई million-dollar business के सटीक revenue data को सार्वजनिक करना बुरा विचार है

    • QR menu इस्तेमाल करने के अनुभव में, कुछ clicks में खाना आ जाना innovative लगता है
    • खासकर उन जगहों पर यह उपयोगी है जहाँ बहुत शानदार service की उम्मीद नहीं होती

  • तकनीकी नज़रिये से यह दिलचस्प है, लेकिन vulnerability का गैर-जिम्मेदाराना खुलासा समस्या है

    • संभव है कि भारत सरकार का PDPA bill पास हो चुका हो
    • गैर-जिम्मेदाराना खुलासा कानूनी समस्याएँ पैदा कर सकता है
    • 10 साल पहले जब एक बड़े multinational bank में गंभीर vulnerability मिली थी, तब उसे bank को report किया गया और fix होने तक गुप्त रखा गया

  • कंपनी से संपर्क किए बिना vulnerability सार्वजनिक करना अपरिपक्व व्यवहार था

  • सरकार के bus booking system में इसी तरह की vulnerability मिली थी

    • gender, age, name, phone number जैसी जानकारी हासिल की जा सकती थी
    • इसे website support email और state cyber cell को report किया गया था
    • 7 साल बाद भी वह vulnerability अब भी मौजूद है

  • रोज़मर्रा की ज़िंदगी में QR codes scan करना पसंद है

    • Burger King में drinks refill limit को QR code से लागू करने का तरीका देखा
    • जिज्ञासा है कि QR code का timestamp बदलकर unlimited refill संभव बनाया जा सकता है या नहीं

  • AT&T के public subscriber data का उपयोग करने पर किसी के जेल जाने का मामला है

    • media का इसे hacking कहना मददगार नहीं था