香港餐飲業近年大力推廣掃碼點餐系統,原本意圖提升效率同減少接觸,卻演變成一場大規模私隱與網絡安全危機。大量中小型食肆,尤其是自助火鍋、放題餐廳、日式料理店,幾乎全面採用QR Code落單模式,客人被迫使用自己手機掃描桌面或侍應提供的二維碼,進入所謂「線上菜單」進行點餐及支付。然而,背後提供呢類服務嘅香港QR Code點餐公司,技術質素極低、管理層安全意識薄弱、合規審視幾乎為零,結果製造出一個充滿漏洞嘅數碼生態系統,直接威脅每位市民嘅個人資料、財務安全、手機完整性,甚至成為詐騙集團嘅溫床。呢篇文章將深入剖析各種具體風險,並提醒市民切勿貪圖方便而使用自己手機掃描不明QR Code,同時呼籲食肆必須提供自家設備或由侍應使用其他裝置落單,方能真正保障消費者。
table of content最基本亦最致命嘅問題係大量QR Code點餐系統仍然使用純HTTP而非HTTPS連接。正常網站使用HTTPS時,會透過SSL/TLS證書加密所有資料傳輸,手機到伺服器之間嘅通訊完全受到保護,防止中間人攻擊。但香港好多QR Code點餐頁面一打開,Google Chrome會即時顯示「不安全」紅色警告,Safari在iPhone上更直接彈出「此網站不安全」提示,而部分高安全設定嘅瀏覽器(如Brave、Firefox嚴格模式)甚至完全拒絕載入頁面。呢種情況下,用家只要輸入電話號碼、姓名、地址、信用卡資料或掃描支付寶/微信支付二維碼,所有敏感資訊都以明文形式穿越網絡,極易被同一Wi-Fi熱點內嘅攻擊者、公共網絡中間人、甚至ISP層級攔截。攻擊者可輕易捕獲完整登入憑證、支付token或個人身份資料,用嚟進行即時轉帳詐騙、開設假戶口或出售黑市。雖然Cloudflare免費計劃早已提供免費SSL證書、自動HTTPS重定向、DDoS防護同基本防機械人功能,但呢啲公司明顯選擇「不作為」,不肯花幾分鐘設定,結果令整個點餐流程處於原始不安全狀態,暴露數以萬計用家於極高風險。
table of content另一個極度危險嘅設計係依賴免費線上QR Code產生工具,例如qr.io、qrcode-monkey、goqr.me等第三方平臺。客人掃描桌面QR Code後,第一步唔係直接進入餐廳自家域名(如https://restaurantname.com/menu),而係先跳去不明子域名(如https://abc123.qrxxx.io),再經過兩至三次重定向(redirect),有時甚至直接跳到裸露IP地址加TCP端口(例如http://123.45.67.89:8080/menu)。呢種多重跳轉係典型低成本方案,但安全隱患極其嚴重。惡意人士可以輕易在食肆門口、枱面或洗手間貼上假QR Code,引導用家進入完全由攻擊者控制嘅釣魚網站(Quishing)。一旦進入,攻擊者可即時執行惡意JavaScript,植入木馬、竊取瀏覽器儲存資料、或誘導下載惡意APK。香港過去數年Quishing個案急升,騙徒利用類似手法誘導受害人輸入銀行資料或下載勒索軟件,而餐廳使用呢類第三方生成器,無任何域名驗證、簽名機制或跳轉白名單,客人掃描一刻即已踏入未知領域,風險成幾何級數放大。
table of content更令人震驚嘅係,部分系統掃碼後會直接顯示廣告頁面,然後跳轉到暴露真實IP地址同TCP端口嘅頁面。呢種設計完全違反基本網絡安全原則。用家嘅真實公網IP、連接端口、設備指紋(Browser Fingerprinting)全部公開。攻擊者可利用呢啲資訊進行精準定位、發送針對性詐騙SMS、結合其他洩漏資料進行身份盜用。更嚴重嘅係,呢類頁面往往嵌入大量第三方追蹤腳本,包括不明SDK、像素追蹤器(Pixel Tracker)、Canvas指紋、WebGL指紋、字型指紋、時區語言設定等數十項資料,形成獨一無二嘅「瀏覽器指紋」。即使清除Cookie、開啟隱私模式,都難以完全逃脫長期追蹤。部分劣質系統更允許不知名第三方網站透過iframe或JavaScript存取localStorage、sessionStorage、IndexedDB等瀏覽器儲存空間,植入持久追蹤標識,甚至竊取其他網站登入狀態。當用家之後瀏覽銀行、支付寶、網購平臺時,呢啲標識可能被用嚟關聯身份,構成跨網站追蹤同詐騙鏈條。
table of content最恐怖嘅風險係惡意腳本植入同手機感染。當用家掃描不良QR Code進入劣質頁面,瀏覽器可能自動執行隱藏JavaScript,觸發以下攻擊:
現時詐騙橫行,市民切勿貪圖方便而使用自己手機掃描食肆提供嘅QR Code。以下係最有效嘅自保方法:
食肆方面,管理層有責任審視供應商技術水平,拒絕採用無SSL、多重不明跳轉、暴露IP嘅系統,並考慮提供低成本Android平板畀客人使用,徹底解決安全隱患。科技券資助應優先用於真正安全可靠嘅解決方案,而非低質免費工具。
香港QR Code點餐危機反映咗部分數碼化服務供應商嘅技術門檻同責任感仍然極低,消費者必須提高警惕,食肆與監管機構亦應即時介入,方能避免更多市民成為下一個受害者。
table of content香港餐飲業面對掃碼點餐系統帶來的安全危機,食肆老闆同管理層絕對唔可以繼續將風險全部轉嫁畀客人。現時詐騙橫行,網絡攻擊手法日新月異,客人使用自己手機掃描不明QR Code,已成為最常見嘅私隱洩漏同手機感染途徑之一。作為食肆,真正負責任嘅做法,係主動切斷呢條風險鏈條,而唔係繼續依賴劣質QR Code服務供應商。以下將詳細說明食肆可以採取嘅最有效、最低成本嘅替代方案,以及背後嘅商業、法律同道德考量。
table of content食肆完全可以為每枱客人提供一部二手Android手機,專門用作顯示菜單同落單。市面上十年前嘅中階Android手機,例如2015-2018年款式嘅Samsung Galaxy A系列、Huawei Honor系列或小米舊機,喺二手市場只需200至300元一部,性能足夠運行簡單嘅網頁菜單或離線App。假設一間50枱嘅餐廳,全數配備只需10,000至15,000元,一次性投資即可長期使用。呢筆開支相對於每日營業額嚟講微不足道,卻可以徹底解決所有因客人掃描QR Code而產生嘅風險。
使用餐廳自家提供嘅二手手機,有以下多重好處。首先,所有點餐過程完全喺餐廳控制嘅裝置上進行,客人唔使將自己手機暴露喺不明網站、無SSL連接、多重跳轉、IP暴露或惡意腳本之下。其次,瀏覽器指紋(Browser Fingerprinting)、localStorage、sessionStorage、Canvas指紋等所有追蹤資料,都只會產生喺餐廳嘅裝置上,唔會外洩畀第三方追蹤公司或攻擊者。再次,餐廳可以預先安裝可靠嘅瀏覽器(如Chrome或Firefox),強制啟用HTTPS、廣告攔截、JavaScript限制,甚至直接使用離線HTML菜單,完全避免網絡風險。最後,呢種做法大幅提升餐廳嘅責任形象同可靠度,客人會覺得食肆真正關心佢哋嘅私隱同安全,自然增加回頭率同口碑。
table of content香港政府持續推出科技券計劃(Technology Voucher Programme),資助中小企引入數碼化方案,提升營運效率同客戶體驗。食肆完全可以申請科技券,用嚟購買二手手機、簡單平板電腦,或者開發自家離線菜單App。科技券最高資助額可達60萬港元,資助比例為75%,意味住一間中小型食肆只需自付25%成本,就能獲得專業安全嘅點餐系統。相比繼續使用劣質QR Code服務(每月可能只需幾百元,但隱藏風險無限大),投資自家設備明顯更劃算、更合規。申請過程簡單,政府亦鼓勵呢類保障私隱同網絡安全嘅項目,食肆老闆應積極把握機會,轉型成為真正負責任嘅經營者。
table of content餐廳老闆、經理、會計同IT負責人,喺選擇QR Code點餐供應商時,必須嚴格把關。現時市場上好多小公司只用免費qr.io生成碼、唔設SSL、多重不明跳轉、直接暴露IP地址同TCP端口,呢啲明顯違反基本網絡安全標準。食肆有責任要求供應商提供HTTPS證書證明、可信域名、跳轉記錄、第三方腳本清單,以及獨立安全審核報告。若供應商無法證明系統安全,即應即時終止合作。繼續使用呢類「不作為」嘅服務,等於食肆主動將客人置於風險之中,長遠損害自家品牌信譽。
table of content根據香港《個人資料(私隱)條例》,食肆作為資料使用者,若因提供不安全QR Code而導致客人個人資料洩漏(如電話、支付資料、瀏覽器指紋),私隱專員公署可展開調查,並對違規者處以罰款。若事件涉及大規模資料外洩,食肆更有機會面對集體民事索償。更有甚者,若客人因掃描QR Code而感染木馬、銀行戶口被盜、遭受詐騙,法庭可能認定食肆提供不安全系統構成疏忽責任(Negligence),需承擔賠償。喺詐騙橫行嘅今日,呢類案件已有先例,食肆絕對唔值得為節省少少成本而冒上刑責或巨額索償風險。
table of content點餐係食肆同客人之間最基本嘅互動,絕對唔應該變成網絡安全嘅賭博。客人已經付出金錢消費,唔應該同時付出私隱、財務安全同手機完整性作為代價。食肆有能力、有責任提供安全替代方案,例如每枱一部低成本二手手機,或者由侍應使用平板代為落單。呢啲做法唔單止消除所有QR Code相關危機,更能提升整體用餐體驗,贏得客人長遠信任。繼續依賴劣質QR Code服務,只會令食肆成為下一個新聞頭條嘅受害者。香港餐飲業應該即時醒覺,拒絕將風險轉嫁畀客人,共同打造一個真正安全、可靠嘅數碼點餐環境。
內容引用來源及網址 Hong Kong Computer Emergency Response Team (HKCERT), "認識QR code潛在攻擊及對應手法", https://www.hkcert.org/tc/blog/introduction-of-qr-code-attacks-and-countermeasures
個人資料私隱專員公署 (PCPD), "在餐廳使用手機應用程式或二維碼點餐的保障私隱貼士", https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/foodordering_leaflet.pdf
消費者委員會, "QR Code方便掃!網絡安全隱患莫忽視", https://www.consumer.org.hk/tc_chi/article/576-safety-tips-for-scanning-qr-code/576-safety-tips-for-scanning-qr-code-safety-risks
Hong Kong Computer Emergency Response Team (HKCERT), "Secure Use of QR Code", https://www.hkcert.org/en/blog/secure-use-of-qr-code
ezone.hk, "警世!餐廳QR Code落單藏嚴重漏洞 大嬸「無縫接軌」掃碼上一手慘幫人埋單?", https://ezone.hk/article/20084469
香港網絡安全事故協調中心 (HKCERT), "2024年網絡安全威脅趨勢報告", https://www.hkcert.org/tc/security-bulletin/2024-hong-kong-cybersecurity-threat-landscape
Mozilla Developer Network, "Browser Fingerprinting", https://developer.mozilla.org/en-US/docs/Glossary/Fingerprinting
OWASP Foundation, "QR Code Attacks (Quishing)", https://owasp.org/www-community/attacks/Quishing