7P by neo 17일전 | favorite | 댓글 3개

QR 코드 메뉴로 주문한 뒤 알게된 충격적인 사실들

  • 며칠 전 집 근처 카페에서 QR코드로 주문했더니 5분만에 아무 확인없이 음식이 나옴
  • QR코드 웹사이트를 열어보니 dotpe.in 서브도메인에서 운영 중
  • Dotpe는 "full stack food stack"을 레스토랑에 제공하는 업체로, 구글이 투자자 중 하나

Dotpe의 API에서 발견한 문제점들

  • /api/morder/suggestion/ongoing/items 엔드포인트에서 현재 카페에서 주문된 음식 목록이 모두 보임
  • /api/morder/suggestion/items/purchase/history 엔드포인트에서 지난달 각 메뉴별 주문 횟수 제공
  • 이를 통해 한달 매출을 계산할 수 있었음
  • /api/morder/suggestion/items/past-fav 엔드포인트에서 전화번호만 바꾸면 타인의 과거 주문내역까지 볼 수 있음
  • /api/morder/fd/table/state 엔드포인트에서 테이블 ID만 바꾸면 다른 사람의 이름, 전화번호, 주문 내용을 볼 수 있음

Dotpe의 전국 규모 데이터 접근

  • Dotpe 가맹점 검색 API를 통해 전국 3만7천여개 레스토랑의 실시간 주문내역 확인 가능
  • 스타벅스, 피자헛, 할리람스, 소셜, 바리스타, 파라다이스 비리야니 등 대형 체인도 사용 중
  • 지난달 판매내역 분석 결과 소셜 펍은 연간 200억 이상의 매출 기록, 지점별 인기 메뉴 파악 가능
  • 파라다이스 비리야니 본점은 월 7천만원 이상 매출

테스트 결과와 우려사항

  • API를 분석하여 타인의 테이블에 원격으로 주문 넣는 것이 가능함을 확인
  • 소셜 펍에서 직접 시도해보니 혼란을 야기했지만 큰 문제로 번지진 않음
  • 하지만 이를 대규모로 자동화한다면 전국적 혼란을 야기할 수 있음
  • /api/morder/fd/table/state 엔드포인트를 통해 dotpe를 통해 주문한 모든 이의 과거 주문내역에 접근 가능
  • 개인정보를 결합하면 누구나 타인의 식습관 추적 가능, 데이터 판매 가능성도 우려됨
  • API가 무방비로 노출된 것은 의도적인 결정이거나 Dotpe의 무관심 때문으로 보임

GN⁺의 의견

  • Dotpe가 수집하고 있는 데이터의 규모와 민감도가 상당히 우려됨. 개인의 식습관과 관련된 정보는 프라이버시 침해 소지가 큼
  • 누구나 전국의 레스토랑 매출 정보에 접근할 수 있다는 점도 기업의 영업기밀 보호 측면에서 문제
  • 비슷한 서비스를 제공하는 스윙기, 조마토 등은 보안에 더 신경쓰고 있는 것으로 보임. Dotpe도 API 접근통제와 인증을 강화할 필요가 있어 보임
  • QR코드 기반 비대면 주문 서비스 이용시 개인정보 수집 범위와 데이터 활용에 대해 주의깊게 살펴볼 필요 있음
  • 데이터 프라이버시 규제가 강화되고 있는 만큼 Dotpe의 관행은 규제 당국의 주목을 받을 가능성 높음. 선제적 대응이 필요해 보임

중국에는 QR코드가 예전부터 엄청 범용적으로 사용되는걸로 알고 있습니다.
그래서 은근슬쩍 가서 가게 메뉴판 QR코드를 자기 QR로 바꿔놓는 식의 범죄가 많다고 들었어요. (QR코드만으로는 그게 무슨 제품을 의미하는지 누구것인지 구분을 못하니까)
그런데 이런식으로 아예 엔드포인트까지 노출되고 아무나 접근이 가능한 것은 또 처음 듣네요. 재밌었습니다.

원글이 삭제 되었네요. 근데 웹 아카이브엔 다 남아있군요
https://archive.is/Z7eIg

Hacker News 의견
  • Dotpe의 취약점을 공개하기 전에 비공개로 알리는 것이 윤리적 표준임

    • 취약점을 공개하기 전에 회사에 경고하면 문제를 해결할 기회를 줌
    • 회사가 대응할 시간을 주지 않으면 소규모 사업체에 피해를 줄 수 있음
  • 최고 주문 경험은 종이 메뉴와 웨이터를 통한 주문임

    • 테이블에서 모두가 휴대폰을 만지작거리는 것보다 종이 메뉴와 웨이터가 더 나음
  • 다중 백만 달러 사업의 정확한 매출 데이터를 공개하는 것은 나쁜 생각임

    • QR 메뉴를 사용해본 결과, 몇 번의 클릭으로 음식이 나오는 것이 혁신적임
    • 특히 뛰어난 서비스를 기대하지 않는 장소에서 유용함
  • 기술적 관점에서 흥미롭지만, 취약점의 무책임한 공개는 문제임

    • 인도 정부의 PDPA 법안이 통과되었을 가능성이 있음
    • 무책임한 공개는 법적 문제를 일으킬 수 있음
    • 10년 전 대형 다국적 은행의 주요 취약점을 발견했을 때, 은행에 보고하고 해결될 때까지 비밀로 유지했음
  • 회사에 연락하지 않고 취약점을 공개한 것은 미성숙한 행동임

  • 정부의 버스 예약 시스템에서 유사한 취약점을 발견했음

    • 성별, 나이, 이름, 전화번호 등의 정보를 얻을 수 있었음
    • 이를 웹사이트 지원 이메일과 주 사이버 셀에 보고했음
    • 7년이 지난 지금도 그 취약점이 여전히 존재함
  • 일상 생활에서 QR 코드를 스캔하는 것을 좋아함

    • Burger King에서 음료 리필 제한을 QR 코드로 구현하는 방식을 발견했음
    • QR 코드의 타임스탬프를 변경하여 무한 리필을 가능하게 할 수 있는지 궁금함
  • AT&T의 공공 가입자 데이터를 이용해 감옥에 간 사례가 있음

    • 미디어가 이를 해킹이라고 부른 것이 도움이 되지 않았음