Que contient le menu par QR code de ce café ?

Les faits choquants découverts après avoir commandé via un menu par QR code

• Il y a quelques jours, dans un café près de chez lui, l’auteur a commandé via un QR code et la nourriture est arrivée en 5 minutes sans aucune vérification
• En ouvrant le site web du QR code, il a constaté qu’il fonctionnait sur un sous-domaine dotpe.in
• Dotpe est une entreprise qui fournit aux restaurants une « full stack food stack », avec Google parmi ses investisseurs

Problèmes découverts dans l’API de Dotpe

• Sur l’endpoint /api/morder/suggestion/ongoing/items, la liste complète des plats actuellement commandés dans le café était visible
• L’endpoint /api/morder/suggestion/items/purchase/history donnait le nombre de commandes par menu pour le mois dernier
• Cela permettait de calculer le chiffre d’affaires mensuel
• Sur l’endpoint /api/morder/suggestion/items/past-fav, il suffisait de changer le numéro de téléphone pour voir l’historique des commandes d’autres personnes
• Sur l’endpoint /api/morder/fd/table/state, il suffisait de changer l’ID de table pour voir le nom, le numéro de téléphone et le contenu de la commande d’autres clients

Accès aux données de Dotpe à l’échelle nationale

• Grâce à l’API de recherche des établissements affiliés à Dotpe, il était possible de consulter en temps réel l’historique des commandes de plus de 37 000 restaurants dans tout le pays
• De grandes chaînes comme Starbucks, Pizza Hut, Haldiram’s, Social, Barista et Paradise Biryani l’utilisent aussi
• L’analyse des ventes du mois dernier montrait que Social Pub enregistrait plus de 20 milliards de wons de chiffre d’affaires annuel, avec possibilité d’identifier les menus les plus populaires par établissement
• Le restaurant principal de Paradise Biryani réalisait plus de 70 millions de wons de chiffre d’affaires par mois

Résultats des tests et inquiétudes

• L’analyse de l’API a confirmé qu’il était possible de passer à distance des commandes sur la table d’autres personnes
• Un essai direct chez Social Pub a provoqué de la confusion, sans dégénérer en problème majeur
• Mais une automatisation à grande échelle pourrait provoquer un chaos national
• L’endpoint /api/morder/fd/table/state permettait aussi d’accéder à l’historique des commandes passées de toute personne ayant commandé via Dotpe
• En croisant ces données avec des informations personnelles, n’importe qui pourrait suivre les habitudes alimentaires d’autrui, avec un risque de revente des données
• Le fait que l’API soit exposée sans protection semble être soit une décision intentionnelle, soit le signe de la négligence de Dotpe

L’avis de GN⁺

• L’ampleur et la sensibilité des données collectées par Dotpe sont très préoccupantes. Les informations liées aux habitudes alimentaires peuvent constituer une atteinte sérieuse à la vie privée
• Le fait que n’importe qui puisse accéder aux informations de chiffre d’affaires des restaurants à l’échelle nationale pose aussi un problème de protection du secret commercial
• Des services similaires comme Swiggy et Zomato semblent accorder plus d’attention à la sécurité. Dotpe doit renforcer le contrôle d’accès à son API et l’authentification
• Lors de l’utilisation de services de commande sans contact basés sur des QR codes, il faut examiner attentivement l’étendue de la collecte de données personnelles et l’usage qui en est fait
• Alors que les règles sur la confidentialité des données se durcissent, les pratiques de Dotpe ont de fortes chances d’attirer l’attention des régulateurs. Une réponse préventive paraît nécessaire