Schwachstelle

20. Januar 2020 11:57; Akt: 20.01.2020 12:03 Print

Mit Handy-Trick zu Gratis-Burgern bei McDonald's

Endlos Essen bestellen, ohne zu bezahlen: Drei Männer haben im System der Fast-Food-Kette eine Lücke entdeckt. McDonald's hat reagiert.

In einer Berliner Filiale der Fast-Food-Kette demonstrierten die Informatiker den Hack. (Video: Wibbitz)
Zum Thema
Fehler gesehen?

Mit einem simplen Trick zu kostenlosen Burgern: Drei jungen IT-Experten ist es gelungen, McDonald's auszutricksen. Ihren Hack demonstrierten sie letzten Dezember in einer Filiale im Osten der deutschen Hauptstadt Berlin.

Umfrage
Gehen Sie zu McDonald's essen?

Angefangen habe alles mit einer Quittung, erklärt der 23-jährige Softwareentwickler David Albert. Bestellt man etwas im Laden, so steht darauf eine URL, um an einer Umfrage teilzunehmen. Füllt man die Angaben dort aus, so erhält man einen Coupon für ein kostenloses Getränk.

Kostenlose Burger

Ihm sei aufgefallen, dass dabei immer die gleiche Information an den Server gesendet wurde. Also habe er ein Tool geschrieben, das so tue, als ob es die Umfrage immer wieder beendet. «Ich erhalte dann jedes Mal einen frisch generierten Code, der einen ganzen Monat lang eingelöst werden kann», sagt Albert gegenüber Vice.com.

Lenny Bakkalian, ein Kollege von Albert und ebenfalls Informatiker, hat eine weitere Lücke im System entdeckt. Diese baut auf dem Code-Generator auf. Es wäre möglich, damit Hunderte Burger oder Tausende Getränke zu bestellen – kostenlos.

So geht der Hack

Für die Gratisbestellung nutzten sie einen Internet-Hotspot, ein Handy, sowie ein Notebook. Aufgegeben wurde die Bestellung per App. Dort gaben sie dann die Couponnummer für das kostenlose Getränk ein. Am PC fingen sie die Bestellung ab. Mit einem Tool, das sie selbst entwickelt hatten, liess sich diese manipulieren.

Dem Coupon-Abschnitt jubelten sie so beliebig viele Artikel unter. Bei der Demo waren das Curly Fries, dreimal Pommes, einmal Chicken Nuggets und ein Fanta. Dann schickten sie die Bestellung ab. Kostenpunkt: 0,00 statt 17 Euro.

Das Trio betont, dass es sich nicht illegal habe bereichern wollen. Als die drei die Bestellung abholten und erklärten, was passiert war, lehnte der Filialleiter die Bezahlung mehrfach ab. Sie entschieden sich, das Essen an Obdachlose zu verschenken.

Lücke geschlossen

Bereits im November hätten sie die Lücke per Mail an McDonald's gemeldet, erklärt Albert gegenüber Vice.com. Er fürchtete, dass jemand den Hack automatisieren und sich so bereichern könnte. Die Fast-Food-Kette teilt dem Online-Magazin mit, dass die App herkömmlichen Sicherheitsanforderungen genüge. Man habe die Schwachstelle Mitte Dezember geschlossen.

(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • martin am 20.01.2020 12:16 via via Mobile Report Diesen Beitrag melden

    no System is save

    eine Lücke geschlossen 2 weitere geöffnet.

    einklappen einklappen
  • tuptim am 20.01.2020 12:17 via via Mobile Report Diesen Beitrag melden

    Das nennt man doch....

    Robin Hood Syndrom..... wenn man etwas ergaunert und dann Bedürftigen verteilt....

    einklappen einklappen
  • Experte für sichere Sicherheit am 20.01.2020 12:44 via via Mobile Report Diesen Beitrag melden

    Sicher ist...

    Ähhh sicher ist nur, dass NICHTS sicher ist.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Igel am 21.01.2020 19:55 via via Mobile Report Diesen Beitrag melden

    Kein Anstand

    Die Fenster am Auto werden zur Lücke. Den Rest kann man am Strassenrand sehen. Dazu braucht es keine Tricks. Alte Leute fahren nucht zum MC. Das sind jüngere Umwelt und Klimaaktivisten.

  • LoneStar am 21.01.2020 17:48 via via Mobile Report Diesen Beitrag melden

    Für Informatiker

    Das ganze ist ja schön und gut. Aber jeder der sich nicht in Informatik auskennt, kann diesen Trick gar nicht nutzen. Daher ist der Titel völlig Irreführend und falsch.

  • Dani am 21.01.2020 06:01 Report Diesen Beitrag melden

    Prime Video

    Habe gestern per Zufall eine Lücke im Amazon Prime Video gefunden.

  • cyrill am 20.01.2020 22:13 Report Diesen Beitrag melden

    nur wie haben die

    den qr code manipuliert hatten sie ein botnetz und konnten ihn anschliessend die ganzen abfragen , das wird nicht generisch sein so wie bei einer bank. okay ich arbeite mal an deer generik mal schauen was man da raus findet.

  • Brumm am 20.01.2020 22:11 via via Mobile Report Diesen Beitrag melden

    Das Problem ist

    Auch wenn ich dieses Trickli kennen würde, würde ich es nicht über's Herz bringen Befürdigten solchen Dreck zu geben.