Aktualisiert 20.01.2020 12:03

SchwachstelleMit Handy-Trick zu Gratis-Burgern bei McDonald's

Endlos Essen bestellen, ohne zu bezahlen: Drei Männer haben im System der Fast-Food-Kette eine Lücke entdeckt. McDonald's hat reagiert.

von
tob

In einer Berliner Filiale der Fast-Food-Kette demonstrierten die Informatiker den Hack. (Video: Wibbitz)

Mit einem simplen Trick zu kostenlosen Burgern: Drei jungen IT-Experten ist es gelungen, McDonald's auszutricksen. Ihren Hack demonstrierten sie letzten Dezember in einer Filiale im Osten der deutschen Hauptstadt Berlin.

Angefangen habe alles mit einer Quittung, erklärt der 23-jährige Softwareentwickler David Albert. Bestellt man etwas im Laden, so steht darauf eine URL, um an einer Umfrage teilzunehmen. Füllt man die Angaben dort aus, so erhält man einen Coupon für ein kostenloses Getränk.

Kostenlose Burger

Ihm sei aufgefallen, dass dabei immer die gleiche Information an den Server gesendet wurde. Also habe er ein Tool geschrieben, das so tue, als ob es die Umfrage immer wieder beendet. «Ich erhalte dann jedes Mal einen frisch generierten Code, der einen ganzen Monat lang eingelöst werden kann», sagt Albert gegenüber Vice.com.

Lenny Bakkalian, ein Kollege von Albert und ebenfalls Informatiker, hat eine weitere Lücke im System entdeckt. Diese baut auf dem Code-Generator auf. Es wäre möglich, damit Hunderte Burger oder Tausende Getränke zu bestellen – kostenlos.

So geht der Hack

Für die Gratisbestellung nutzten sie einen Internet-Hotspot, ein Handy, sowie ein Notebook. Aufgegeben wurde die Bestellung per App. Dort gaben sie dann die Couponnummer für das kostenlose Getränk ein. Am PC fingen sie die Bestellung ab. Mit einem Tool, das sie selbst entwickelt hatten, liess sich diese manipulieren.

Dem Coupon-Abschnitt jubelten sie so beliebig viele Artikel unter. Bei der Demo waren das Curly Fries, dreimal Pommes, einmal Chicken Nuggets und ein Fanta. Dann schickten sie die Bestellung ab. Kostenpunkt: 0,00 statt 17 Euro.

Das Trio betont, dass es sich nicht illegal habe bereichern wollen. Als die drei die Bestellung abholten und erklärten, was passiert war, lehnte der Filialleiter die Bezahlung mehrfach ab. Sie entschieden sich, das Essen an Obdachlose zu verschenken.

Lücke geschlossen

Bereits im November hätten sie die Lücke per Mail an McDonald's gemeldet, erklärt Albert gegenüber Vice.com. Er fürchtete, dass jemand den Hack automatisieren und sich so bereichern könnte. Die Fast-Food-Kette teilt dem Online-Magazin mit, dass die App herkömmlichen Sicherheitsanforderungen genüge. Man habe die Schwachstelle Mitte Dezember geschlossen.

Deine Meinung

Fehler gefunden?Jetzt melden.