Deutsche Informatiker hacken McDonalds für gratis Essen

Ein gratis All-You-Can-Eat ist der Traum vieler Restaurant-Gänger. Drei junge Informatiker erzielten dies dank einer Sicherheitslücke bei McDonalds.

Das Logo von McDonalds ziert einen Nachthimmel. - keystone

Das Wichtigste in Kürze

  • Drei Informatikern ist es gelungen, McDonalds-Gutscheine zu generieren.
  • Sie meldeten das Problem dem Fastfood-Riesen, da sie keinen Profit für sich wollten.
  • Trotzdem winkt für die jungen Männer eine Belohnung.

Wer regelmässig eine McDonalds-Filliale besucht, hat sicherlich festgestellt, dass der Fastfood-Riese aus den USA immer stärker auf Technik setzt: Dazu gehören Bestellautomat, Smartphone-App oder Bildschirmanzeige.

Doch genau dieser Fortschritt wurde dem Unternehmen nun zum Verhängnis. In Deutschland haben sich drei Informatiker – jeweils rund 20 Jahre alt – zusammengetan, um den Konzern mit dem goldenen «M» um ein paar Burger zu bringen – jedenfalls theoretisch.

Eine Frau bestellt bei McDonald's am Monitor einen Big Mac. (Symbolbild) - Pixabay

Getränkegutscheine dank falschen Umfragen

Die Drei haben zuerst eine Sicherheitslücke entdeckt, die es erlaubte, Getränkegutscheine zu ergaunern. Normalerweise müsste man für so einen Bon zuerst eine Umfrage ausfüllen, doch diese Anfrage an den Server wird dabei beliebig oft gefälscht.

Doch damit nicht genug: Die Softwareentwickler demonstrieren gegenüber «Vice» noch eine schlimmere Schwachstelle. Durch eine Manipulation der Netzwerkdaten, welche von der McDonalds-App gesendet werden, kann der Inhalt eines Gutscheins geändert werden.

Manipulierte Gutscheine für beliebig viele Burger

Dem Getränkebon können also noch beliebig viele Burger, Glace oder sonstige Wünsche angefügt werden. Das Resultat ist ein gratis All-You-Can-Eat. Und die Kirsche auf dem Eisbecher: Die Gutscheine sind einen Monat lang gültig, sprich ein Verkauf, über das Internet wäre einfach möglich.

Eine Person hält eine McDonalds-Bestellung. (Symbolbild) - sda

Dies sei einer der Gründe, weshalb die drei Informatiker das Problem bereits im November dem Fastfood-Riesen mitteilten. Sie ergänzen, dass sie die Lücke auch nicht zu ihrem Profit nutzen.

McDonalds schliesst Lücke nach eineinhalb Monaten

Wie «Vice» weiterschreibt, hat McDonalds die Schwachstelle erst Mitte Dezember gefixt. Gegenüber dem Magazin äussert sich eine Sprecherin des Unternehmens: Die App habe trotzdem alle herkömmlichen Sicherheitsanforderungen erfüllt. Weiter warnte sie von der Nutzung des Tricks: Es bestehe die möglicherweise eine Straftat.

Auch wenn die drei Informatiker keinen Profit aus der Angelegenheit schlagen wollten, können sie sich freuen: McDonalds hat ihnen eine nicht genauer spezifizierte Belohnung ausgehändigt.