Schwachstelle

20. Januar 2020 17:38; Akt: 20.01.2020 17:43 Print

Mit Handy-​​Trick zu Gratis-​​Burgern bei McDonald's

Endlos Essen bestellen, ohne zu bezahlen: Drei Männer haben im System der Fast-Food-Kette eine Lücke entdeckt. McDonald's hat reagiert.

In einer Berliner Filiale der Fast-Food-Kette demonstrierten die Informatiker den Hack. (Video: Wibbitz)

Zum Thema
Fehler gesehen?

Mit einem simplen Trick zu kostenlosen Burgern: Drei jungen IT-Experten ist es gelungen, McDonald's auszutricksen. Ihren Hack demonstrierten sie letzten Dezember in einer Filiale im Osten der deutschen Hauptstadt Berlin.

Angefangen habe alles mit einer Quittung, erklärt der 23-jährige Softwareentwickler David Albert. Bestellt man etwas im Laden, so steht darauf eine URL, um an einer Umfrage teilzunehmen. Füllt man die Angaben dort aus, so erhält man einen Coupon für ein kostenloses Getränk.

Kostenlose Burger

Ihm sei aufgefallen, dass dabei immer die gleiche Information an den Server gesendet wurde. Also habe er ein Tool geschrieben, das so tue, als ob es die Umfrage immer wieder beendet. «Ich erhalte dann jedes Mal einen frisch generierten Code, der einen ganzen Monat lang eingelöst werden kann», sagt Albert gegenüber Vice.com.

Lenny Bakkalian, ein Kollege von Albert und ebenfalls Informatiker, hat eine weitere Lücke im System entdeckt. Diese baut auf dem Code-Generator auf. Es wäre möglich, damit Hunderte Burger oder Tausende Getränke zu bestellen – kostenlos.

So geht der Hack

Für die Gratisbestellung nutzten sie einen Internet-Hotspot, ein Handy, sowie ein Notebook. Aufgegeben wurde die Bestellung per App. Dort gaben sie dann die Couponnummer für das kostenlose Getränk ein. Am PC fingen sie die Bestellung ab. Mit einem Tool, das sie selbst entwickelt hatten, ließ sich diese manipulieren.

Dem Coupon-Abschnitt jubelten sie so beliebig viele Artikel unter. Bei der Demo waren das Curly Fries, dreimal Pommes, einmal Chicken Nuggets und ein Fanta. Dann schickten sie die Bestellung ab. Kostenpunkt: 0,00 statt 17 Euro.

Das Trio betont, dass es sich nicht illegal habe bereichern wollen. Als die drei die Bestellung abholten und erklärten, was passiert war, lehnte der Filialleiter die Bezahlung mehrfach ab. Sie entschieden sich, das Essen an Obdachlose zu verschenken.

Lücke geschlossen

Bereits im November hätten sie die Lücke per Mail an McDonald's gemeldet, erklärt Albert gegenüber Vice.com. Er fürchtete, dass jemand den Hack automatisieren und sich so bereichern könnte. Die Fast-Food-Kette teilt dem Online-Magazin mit, dass die App herkömmlichen Sicherheitsanforderungen genüge. Man habe die Schwachstelle Mitte Dezember geschlossen.

(L'essentiel/tob)

Fragen und Antworten rund um die Kommentar-Funktion
«Warum dauert es manchmal so lange, bis mein Kommentar sichtbar wird?»

Unsere Leser kommentieren fleißig – Tag für Tag gehen Hunderte Meinungen zu allen möglichen Themen ein. Da die Verantwortung für alle Inhalte auf der Website bei der Redaktion liegt, werden die Beiträge vorab gesichtet. Das dauert manchmal eben einige Zeit.

«Warum wurde mein Kommentar gelöscht?»

Womöglich wurde der Beitrag in einer Fremdsprache verfasst. Wir geben nur Kommentare in den Landessprachen Luxemburgisch, Deutsch und Französisch frei. Beiträge, die Beleidigungen, Verleumdungen oder Diffamierungen enthalten, werden sofort gelöscht. Auch Kommentare, die aufgrund mangelnder Orthografie quasi unlesbar oder in Versalien geschrieben sind, werden das Licht der Öffentlichkeit nie erblicken.

«Habe ich ein Recht darauf, dass meine Kommentare freigeschaltet werden?»

«L'essentiel» ist nicht dazu verpflichtet, eingehende Kommentare zu veröffentlichen. Ebenso haben die kommentierenden Leser keinen Anspruch darauf, dass ihre verfassten Beiträge auf der Seite erscheinen.

Haben Sie allgemeine Fragen zur Kommentarfunktion?

Schreiben Sie an feedback@lessentiel.lu
Hinweis: Wir beantworten keine Fragen, die sich auf einzelne Kommentare beziehen.