McDonalds: Männer bekommen Burger umsonst – mit diesem dreisten Trick

Zwei Informatiker haben Mc Donalds ausgetrickst. (Symbolbild)
Zwei Informatiker haben Mc Donalds ausgetrickst. (Symbolbild)
Foto: imago images/Rüdiger Wölk

Unendlich viel Essen und Getränke bei McDonalds bestellen – ohne auch nur einen Cent dafür zu bezahlen? Wie „Vice“ berichtet, haben Lenny Bakkalian und David Albert einen Weg gefunden, genau diese verrückte Vorstellung in die Tat umzusetzen.

Die beiden Informatiker haben im Bestellsystem von McDonalds zwei Sicherheitslücken entdeckt – und den Fast-Food-Riesen kurzerhand gehackt.

McDonalds: Hacker können unendlich viele Getränkecoupons generieren

Das erste Ziel der Software-Entwickler: Getränkecoupons. Auf allen McDonalds-Kassenzetteln steht eine personalisierte URL, über die man zu einer Umfrage gelangt. Nimmt man daran teil, erhält man am Ende einen Code für ein kostenloses 0,25-Liter-Getränk. David Albert (23) fand heraus: Die Umfrage-Website schickt jedes Mal die exakt selbe Information an den McDonalds-Server, um einen Gutschein-Code zu generieren.

+++ McDonald's: Mitarbeiter verrät: Mit diesem Trick bekommst du deine Burger viel schneller – und frischer +++

Also schrieb er ein Programm, dass dem Server ständig vorgaukelt, dass eine neue Umfrage abgeschlossen worden sei – und erhielt somit eine ganze Reihe von Gutschein-Codes, die einen ganzen Monat lang gültig sind.

Die selbe Sicherheitslücke kann auch auf Essen angewendet werden

Doch damit nicht genug: Diese Sicherheitslücke lässt sich auch für Essensbestellungen verwenden. Die Informatiker machen es vor: Zunächst generieren sie, wie zuvor beschrieben, einen Gutschein-Code. Den gibt Lenny auf seinem Handy in der McDonalds-App ein und sichert sich somit ein Gratis-Getränk. Dann wählt er das gewünschte Essen aus. Die daraus resultierende Rechnung kann er über einen Proxy-Server als Code auf seinem Laptop sehen.

Diesen Code kopiert er anschließend in ein selbst gebautes Tool. Dieses Programm nutzt die Getränkecoupon-Sicherheitslücke aus, indem es die Funktion, die den Getränke-Preis auf null Euro setzt, auf alle bestellten Produkte anwendet und diese Information zurück an die McDonalds-App sendet. Dort sind anschließend alle Preise durchgestrichen und die gesamte Bestellung kann für null Euro abgeschlossen werden.

McDonalds benötigt mehrere Wochen zur Behebung des Fehlers

Mit einer App, die den Hack automatisiert, könnte jeder kostenlos bei McDonalds essen, erklärt Lenny Bakkalian. Davon schienen die Verantwortlichen bei McDonalds allerdings nicht überzeugt. Gegenüber „Vice“ sagte eine Sprecherin des Konzerns: „Unsere App erfüllt alle herkömmlichen Sicherheitsanforderungen.“ Es gebe keine grundsätzliche Schwachstelle, die unbegrenzte Bestellungen erlaube. Dennoch stehe der Fast-Food-Riese mit den jungen Hackern in Kontakt, um die Lücke zu schließen – und belohnte die Informatiker sogar für ihre Entdeckung.

-------------

Mehr Themen zu McDonalds:

-------------

Lenny und David hatten zu keiner Zeit vor, sich mit ihrem Bestellungs-Hack illegal zu bereichern. Sie haben den Burger-Gigant bereits Ende November 2019 auf die Fehler im Bestellsystem hingewiesen. Doch es dauerte insgesamt rund einen Monat, bis McDonalds die Sicherheitslücke geschlossen hatte. (at)

 
 

EURE FAVORITEN