Deze jongens hebben een manier bedacht om eindeloos gratis McDonald's te krijgen

De premie. Foto: Tim Geyer

Dit artikel verscheen oorspronkelijk op AORT Duitsland .

Afgelopen november ontdekten softwareontwikkelaars Lenny Bakkalian en David Albert twee mazen in de Duitse McDonald's systeem waarmee ze een eindeloze voorraad gratis voedsel konden bestellen. Onlangs ontmoette ik de twee Hamburglars en hun collega Mats Tesch bij een Oost-Berlijnse McDonald's, zodat ze me konden laten zien hoe ze het deden.

McDonald's-bonnen in Duitsland eindigen met een link naar een enquêtepagina. Zodra u de enquête invult, ontvangt u een couponcode voor een gratis klein drankje, dat binnen een maand kan worden ingewisseld. Op een dag keek David toevallig hoe de codering van de website was gestructureerd toen hij merkte dat de informatie die de server ertoe aanzette om een ​​nieuwe voucher uit te geven, altijd hetzelfde was. Dat betekende dat hij een programma kon bouwen dat de code repliceerde, alsof iemand de enquête keer op keer invulde.



Maar wie wil er onbeperkt drinken met niets om je tanden in te zetten? 'Ik speelde wat met de coupongenerator en ontdekte na ongeveer vijf uur nog een kwetsbaarheid', legde hij uit - een kwetsbaarheid waardoor ze gratis eten konden bestellen.

Bij de McDonald's in Oost-Berlijn begon David de demonstratie met het opzetten van een internethotspot met zijn smartphone. Lenny maakte verbinding met een tweede telefoon en een laptop en veranderde de laptop vervolgens in een proxyserver die op beide telefoons was aangesloten. Hij opende de McDonald's-app en voerde een vouchercode in die door het programma van David was gegenereerd. De volgende stap was het bestellen van het eten voor in totaal € 17. De rekening op de app werd naar de laptop gestuurd, die alle prijzen op nul zette via een programma gemaakt door Lenny, en de informatie terugstuurde naar de app. Na het aantikken van 'Voltooien en 0,00 euro betalen', kregen we gewoon ons ophaalnummer. Het had gewerkt.

Mats, Lenny en David. Foto door de auteur, bewerking door AORT.

Mijn enthousiasme over het gratis bewerkte vlees was snel verdwenen toen de jongens me vertelden dat ze er eigenlijk niet waren voor het gratis eten - dat dit slechts een demonstratie was. 'Oké, we halen het op en betalen ervoor', zei David, die de multinationale keten van een miljard dollar niet van €17 wilde afpakken. Aan de balie probeerde hij uit te leggen wat hij zojuist had gedaan. 'Ontspan en geniet ervan - het is allemaal goed', zei de manager, terwijl hij zijn geld weigerde.

De jongens vertelden me dat het niet altijd zo ging - toen ze probeerden de app voor 15 hamburgers in Hamburg te hacken, vertelden de jongens de manager wat ze aan het doen waren en de bestelling werd geannuleerd voordat deze werd voorbereid. Deze keer besloten ze het eten aan een dakloze in de buurt te geven.

Nieuwsgierig vroeg ik de jongens waarom ze de hack hadden bedacht als ze niet wilden eten van Ronald McDonald's dubbeltje. In eerste instantie zei David dat ze bang waren dat 'criminelen geld zouden verdienen door de coupons te genereren en ze online te verkopen'. Later voegde hij eraan toe: 'Lenny en Mats zijn mijn vrienden - ik wil dat ze na school kunnen solliciteren naar goede banen, en ontdekkingen als deze zullen daarbij helpen.' Dat motiveerde de jongens om in november 2019 contact op te nemen met McDonald's over hun hack. Een medewerker van de klantensergswconsultinggroup.com zei dat ze ernaar zouden kijken, maar twee weken later werkte de hack nog steeds.

Veel grote bedrijven voeren zogenaamde 'bug bounty'-programma's uit die mensen belonen die dit soort codeerfouten ontdekken. Toen AORT contact opnam met McDonald's, wilde een woordvoerder het bestaan ​​van een dergelijk programma niet bevestigen, maar zei dat de McDonald's-app aan 'alle conventionele beveiligingseisen' voldeed. Ze voegde eraan toe dat alleen iemand met diepgaande programmeerkennis de mazen in de wet zou kunnen misbruiken - en dat ze aansprakelijk zouden zijn voor vervolging. 'Natuurlijk werken we momenteel hard om deze kloof te dichten', zei ze.

Lenny bevestigde later dat ze wel een vorm van beloning van McDonald's hadden ontvangen, en de maas in de wet werd uiteindelijk midden december 2019 opgelost. Dus de volgende keer dat je nonchalant door de code op de website van McDonald's bladert, moet je een andere manier bedenken om zorg voor een gratis maaltijd.

Dit artikel verscheen oorspronkelijk op AORT DE.