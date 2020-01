Panagiotis Kolokythas

Drei Deutsche hatten in der McDonald's-App Schwachstellen entdeckt und konnten damit kostenlos Burger abstauben.

Vergrößern McDonald's bietet eine App zum Bestellen und Bezahlen an © McDonald's

Seit Mai 2019 ist es bundesweit in McDonald's-Filialen möglich, per Smartphone-App zu bestellen und bezahlen ( wir berichteten ). Drei Deutsche haben in der App Schwachstellen entdeckt und konnten in einer Hack-Demonstration kostenlos bei McDonald's

Burger bestellen, wie Vice berichtet.



Die Schwachstellen im von McDonald's genutzten System erlaubten die Generierung beliebiger Couponcodes am PC, die anschließend für eine Bestellung genutzt werden konnten. Die Schwachstelle steckte in dem Belohnungssystem für die Teilnahme an einer McDonald's Umfrage, über die man über eine personalisierte URL auf den Kassenbelegen teilnehmen konnte und dann als Belohnung einen Geschenkcode für ein Getränk bei McDonald's erhielt. Bei genauerer Untersuchung dieses Systems stellten die Jugendlichen fest, dass das System nicht sonderlich gesichert war und über Server-Anfragen immer wieder neue Geschenkcodes vom Server angefordert werden konnten.

Mit dieser ersten Schwachstelle war es schon mal möglich, beliebig oft Getränke bei McDonald's gratis zu erhalten. Bei einer genaueren Untersuchung wurde aber auch noch eine weitere Sicherheitslücke entdeckt. Die zweite Lücke erlaubte es dann, aus den Geschenkcoupons für Getränke auch Geschenkcoupons für Essen zu generieren. Für einen praktischen Test gingen die Jugendliche in eine Hamburger McDonald's Filiale, informierten die Filialleiterin über ihren Fund und konnten dann insgesamt 15 Burger im Wert von 106 Euro gratis bestellen. Die Filialleiterin stornierte dann die Bestellungen, ehe die Burger zubereitet wurden. Denn die Jugendlichen betonen, dass sie sich mit der Aktion nicht bereichern wollten.

11 Burger gratis: Jugendlicher hackt McDonald´s Automaten