McDonald's-App gehackt: Kostenlose Burger und Getränke für alle

Simon Stich

Drei junge Informatiker haben die App und Webseite von McDonald’s Deutschland überlistet. Quasi unbegrenzt konnten Gutscheine für Essen und Getränke generiert werden. Die Fast-Food-Kette hat sich mit der Beseitigung des Sicherheitsproblems viel Zeit gelassen.

McDonald’s gehackt: Coupons beliebig oft einsetzbar

Drei deutsche Informatiker haben es geschafft, sowohl die App als auch die Webseite von McDonald’s dazu zu bringen, immer wieder Gutscheine für Essen und Getränke zu generieren. Der Hack sei aus „beruflichem Forschungsinteresse“ entstanden, gibt einer der drei gegenüber dem Magazin Vice zu Protokoll. Die Server von McDonald’s sollen nach dem Ausfüllen einer Umfrage immer die gleichen Informationen verschickt haben. Als dieser Prozess automatisiert wurde, kamen immer neue Gutscheincodes zurück – auch dann, wenn die Umfrage gar nicht erst abgeschlossen wurde.

Die generierten Codes waren je einen Monat lang gültig und konnten in Filialen der Fast-Food-Kette problemlos eingelöst werden. Als Belohnung gab es immer wieder ein kostenloses 0,25-L-Getränk – doch das war nur der Anfang, denn die McDonald’s-App ließ sich ebenfalls überlisten. Hier winkte dann nicht mehr nur eine kleine Cola, sondern gleich „Hunderte Burger“ zum Kostenpunkt von: 0 Euro.

„Ich habe vor ein paar Wochen mit dem Coupon-Generator herumgespielt und nach etwa fünf Stunden eine weitere Sicherheitslücke entdeckt“, beschreibt Lenny Bakkalian. Ihm zufolge war das Vorgehen hier aber komplizierter, es mussten gleichzeitig zwei Smartphones und ein Laptop als Proxy-Server als Werkzeuge dienen. Hinzu kommt noch ein selbst geschriebenes Tool, über das die Rechnung in der App von McDonald’s auf 0 Euro gesetzt wird, unabhängig davon, wie viele Burger und Pommes letztlich bestellt wurden.

Wo kommt eigentlich das Fleisch her, das McDonald’s in den Burgern einsetzt? Im Video gibt es die Antwort:

Wo kommt das McDonald's-Fleisch her?

Das ultimative Burger-Grillbuch bei Amazon anschauen*

McDonald’s-Hack: Schichtleiter reagiert mit „na und?“

Als die drei Informatiker mit einer offensichtlich gefälschten Null-Euro-Rechnung ihre Burger abholen wollten, wurde der Schichtleiter von einem Mitarbeiter hinzugezogen. Mehr als ein „na und?“ soll ihm nicht eingefallen sein. Die Bestellung wurde ohne weitere Probleme ausgegeben.

McDonald’s selbst wurde über die Sicherheitslücke per Mail informiert. Neben einer Antwort, dass man „den Fall prüfen“ werde, geschah lange Zeit nichts. Dann hieß es, dass die App „alle herkömmlichen Sicherheitsanforderungen“ erfüllen würde. Eine „grundsätzliche Schwachstelle“ sei nicht vorhanden. Erst Mitte Dezember 2019, also rund einen Monat nach der ersten Mail, sei die Lücke dann aber doch geschlossen worden.

Nicht alles, was bei McDonald’s angeboten wird, steht auch auf der Karte:

Bilderstrecke starten(9 Bilder)
Diese geheimen Menüs stehen auf keiner Karte

Die drei Hacker wollen die Lücke in der Praxis nicht ausgenutzt haben, von Tests und späteren Demonstrationen für Vice ausgenommen. Die Leitung der jeweiligen McDonald’s-Filiale soll zudem vorab eingeweiht worden sein, wird versichert. Auf die leichte Schulter sollte McDonald’s das Problem dennoch nicht nehmen: „Kriminelle könnten damit Geld verdienen, indem sie die Gutscheine generieren und online verkaufen.“

Zu den Kommentaren

Kommentare zu dieser News

* Werbung