Gratis-Essen bei McDonald's:
Hacker entdecken App-Sicherheitslücke
Drei junge Hamburger Entwickler haben per Zufall zwei Sicherheitslücken im Bestellsystem von McDonalds entdeckt, über die man kostenlos Essen bestellen könnte. Den Konzern schien das zuerst nicht zu interessieren.
Wie durch das Magazin Vice bekannt wurde, entdeckten drei Hamburger Entwickler Ende 2019 eine Lücke bei McDonalds, die es ihnen ermöglichte, kostenlos Essen und Getränke zu bestellen. Ganz einfach über die App. Lange reagierte der Konzern nicht. Nun ist die Sicherheitslücke geschlossen.
Der Vorfall ereignete sich bereits im November 2019. Vice veröffentlichte die Geschichte der McDonalds-Hacker mit guten Absichten jedoch erst im Januar, nachdem die Lücken geschlossen wurden, um Nachahmern keine Anleitung zu geben.
15 Burger - auf dem Bon stand 0 Euro
Per Zufall entdeckten die drei Informatiker Mats Tesch, David Albert, und Lenny Bakkalian, alle um die 20, wie man beliebig oft Codes für McDonald's-Getränkecoupons generieren kann. Dann kamen sie auf die Idee die Getränke in Essen umzuwandeln und testeten den Hack in Hamburg mit einer eingeweihten Filialleiterin. 15 Burger für den Preis von rund 106 Euro. Doch auf dem Kassenbon stand null Euro.
Zwei Wochen später bestand die Lücke immer noch
Der Test wurde natürlich abgebrochen und McDonalds Deutschland gemeldet. Doch in der Zentrale hielt man die Lücke für unbedenklich, da für einen solchen Hack fundierte IT-Kenntnisse von Nöten seien. Zwei Wochen später, Anfang Dezember 2019, bestand die Lücke immer noch. Die drei Freunde befürchteten jedoch, dass sich Kriminelle mit eben genau solchen Kenntnissen über die Lücke bereichern könnten und meldeten den Vorfall an Vice.
Bei einem Live-Test in einer Berliner Filiale demonstrierten sie den Hack dem Magazin. Auf Nachfrage von Vice arbeitete McDonald's offenbar bereits an der Behebung. Mittlerweile ist es nicht mehr möglich, über die Methode kostenlos Essen zu bestellen und die drei Freunde wurden für ihre Entdeckung belohnt. Wie der Trick genau funktionierte, lässt sich hier nachlesen.