このカフェのQRコードメニューには何が入っているのか？

QRコードメニューで注文した後に判明した衝撃的な事実

• 数日前、自宅近くのカフェでQRコードから注文したところ、5分後に何の確認もなく料理が出てきた
• QRコードのWebサイトを開いてみると、dotpe.in のサブドメインで運用されていた
• Dotpeはレストラン向けに「full stack food stack」を提供する企業で、Googleも投資家の1社

DotpeのAPIで見つかった問題点

• /api/morder/suggestion/ongoing/items エンドポイントでは、そのカフェで現在注文されている料理の一覧がすべて見えてしまう
• /api/morder/suggestion/items/purchase/history エンドポイントでは、先月の各メニューごとの注文回数が提供される
• これにより1か月の売上を計算できた
• /api/morder/suggestion/items/past-fav エンドポイントでは、電話番号を変えるだけで他人の過去の注文履歴まで見られる
• /api/morder/fd/table/state エンドポイントでは、テーブルIDを変えるだけで他人の名前、電話番号、注文内容を見ることができる

Dotpeの全国規模データへのアクセス

• Dotpeの加盟店検索APIを通じて、全国3万7千店超のレストランのリアルタイム注文履歴を確認可能
• Starbucks、Pizza Hut、Haldiram's、Social、Barista、Paradise Biryani などの大手チェーンも利用中
• 先月の販売履歴を分析した結果、Social Pubは年間200億超の売上を記録しており、店舗ごとの人気メニューも把握可能
• Paradise Biryani本店は月7,000万ウォン以上の売上

テスト結果と懸念事項

• APIを分析した結果、他人のテーブルにリモートで注文を入れることが可能だと確認
• Social Pubで実際に試したところ混乱は起きたが、大きな問題には発展しなかった
• しかしこれを大規模に自動化すれば、全国的な混乱を引き起こす可能性がある
• /api/morder/fd/table/state エンドポイントを通じて、dotpeを通じて注文したすべての人の過去の注文履歴にアクセス可能
• 個人情報を組み合わせれば、誰でも他人の食習慣を追跡でき、データ販売の可能性も懸念される
• APIが無防備に露出していたのは、意図的な判断か、あるいはDotpeの無関心によるものに見える

GN⁺の見解

• Dotpeが収集しているデータの規模と機微性はかなり懸念される。個人の食習慣に関する情報はプライバシー侵害につながる恐れが大きい
• 誰でも全国のレストラン売上情報にアクセスできる点も、企業の営業機密保護の観点から問題
• 類似サービスを提供する Swiggy、Zomato などは、よりセキュリティに注意を払っているように見える。DotpeもAPIのアクセス制御と認証を強化する必要がありそうだ
• QRコードベースの非対面注文サービスを利用する際は、個人情報の収集範囲とデータ活用について注意深く確認する必要がある
• データプライバシー規制が強化されているだけに、Dotpeの慣行は規制当局の注目を集める可能性が高い。先手を打った対応が必要に見える