McDonald’s
Zweimal Hack, bitte!

Drei Jungs ziehen durch Berlin. Sie sind auf der Suche nach einer Person ohne Dach über dem Kopf, einer Person, die Hunger hat. Die Drei sind zu Fuß unterwegs und haben eine Fresstüte von McDonald’s dabei. In der Tüte, einmal Curly Fries, dreimal Pommes, einmal Chicken Nuggets und eine Fanta.

Nach einer Viertelstunde finden die drei endlich eine Frau unter einer Brücke. Neben ihr liegt ein Fahrrad. Sie trägt Jeans, eine Bluse, einen dünnen Mantel. Es ist aber nicht Spätsommer, sondern Anfang Dezember. Das Thermometer zeigt ein Grad plus.

Ob einer eine Zigarette für sie hat, fragt die Frau. Ob sie das Essen will, fragt einer der Jungs zurück. Die Frau nimmt das Essen und bekommt ihre Zigarette. Cool, sagt sie, und bedankt sich.

Was es mit dem Essen genau auf sich hat, will sie nicht wissen. Die drei sind erleichtert, weil sie das Essen los sind und nichts erklären müssen.

Die Geschichte ist seltsam genug und hat mit einer Sicherheitslücke im Bestellsystem der Schnellrestaurant-Kette McDonald’s zu tun. Genauer gesagt sind es zwei Sicherheitslücken, die Lenny, David und Mats Ende letzten Jahres entdecken.

Und das kam so.

In einer Berliner Filiale des Fast-Food-Anbieters sitzen die drei hinter ihren Laptops. David füllt einen Fragebogen von McDonald’s aus, und bemerkt, dass der als Belohnung für diese Tätigkeit generierte Couponcode für ein kostenloses Getränk eine interessante Eigenschaft hat. Er entsteht nämlich dadurch, dass nach Absenden des Fragebogens immer dieselbe Information an den McDonald’s-Server übertragen wird und der Server darauf mit einem neuen Code für ein Gratisgetränk antwortet.

David schreibt ein kleines Programm, das die offizielle App von McDonal’s „ergänzt“ und die immer gleiche Information an den Server sendet. Als Antwort auf diesen Hack erhält David auf seinem Laptop einen Getränke-Gutscheincode. Und das jedes Mal, wenn er sein kleines Plugin aktiviert. Also: Getränke ohne Ende.

Als Lenny sich den Coupon-Generator der Fast-Food-Kette ansieht, wird es noch doller. Er entdeckt nämlich eine zweite Lücke im System. Sie macht es möglich, dass David, Lenny und Mats nicht nur beliebig viele kostenlose Colas bestellen können, sondern auch beliebig viele Hamburger.

Weil sie weniger an Hamburgern als an den entdeckten Sicherheitslücken interessiert sind, machen die drei Informatiker die Probe aufs Exempel und suchen eine zweite Berliner McDonald’s-Filiale auf. Dort schaltet David in seinem Smartphone den Hotspot frei, so dass Lenny mit seinem Smartphone über diesen Hotspot ins Internet kann. Seinen Laptop schaltet Lenny nun als Proxy-Server zwischen die beiden Smartphones, um so die Daten, die zwischen den beiden Smartphones ausgetauscht werden, zu sehen und verändern zu können.

Dazu öffnet er auf seinem Smartphone die offizielle McDonald’s-App und gibt als erstes einen der Getränke-Gutscheincodes ein, die er aus dem Generator von David hat. Das Getränk wird bestätigt und sein Preis wird in der App wie gewohnt mit 0,00 Euro angegeben.
Jetzt stellt Lenny den Inhalt der eingangs beschriebenen Fresstüte zusammen: einmal Curly Fries, dreimal Pommes, einmal Chicken Nuggets und eine Fanta. Der Preis, 17 Euro. Die zitierte Rechnnung aus der App kann Lenny jetzt aber auf seinem Laptop sehen und sie dem Getränke-Gutscheincode hinzufügen, so dass auch der Inhalt der Fresstüte mit genullten Preisen an den Server gesendet wird und von dort eine normale Abholnummer an die McDonald’s-App gesendet wird, mit der David, Lenny und Mats am Tresen ihre Bestellung abholen können. Ohne bezahlen zu müssen. Theoretisch zumindest, denn die Hacker-Ehre verbietet es den Dreien, sich durch den Hack unnrechtmäßig Vorteile zu verschaffen.

David wendet sich also an die Mitarbeiterin am Tresen und erklärt ihr, was soeben passiert ist. Die Dame ist gestresst, überfordert, weiß nicht, wie sie mit dieser Sache umgehen soll und schaltet hilfesuchend den Schichtleiter ein. Der kommt und sieht schon von weitem so aus, als sei er schon mit ganz anderen Zwischenfällen fertig geworden. Was denn los sei, will der Schichtleiter wissen. David erklärt mit wenigen Worten, dass sie soeben über die McDonald’s-App Essen bestellen konnten, für das sie nicht bezahlen müssen. Er will ihm die 17 Euro geben, die die Bestellung regulär gekostet hätte.
Der bullige Schichtleiter überlegt einen Moment. „Entspannt euch, nehmt die Sachen mit, genießt es und gut is“, sagt er. Das Geld will er nicht. Schon deshalb, weil er es durch den Systemfehler gar nicht verbuchen könnte.

Anfang Dezember informieren David, Lenny und Mats McDonald’s von den beiden Sicherheitslücken. Mitte Dezember ist noch nichts passiert. Der Hack sei viel zu kompliziert, als dass davon irgendein ernsthaftes Problem ausginge, meint eine Unternehmenssprecherin auf Anfrage.

Dass die Sache für McDonald’s nicht wichtig ist, mag man finden, wie man will. Jedenfalls hat die Frau unter der Brücke sich sehr über das warme Abendessen gefreut.

siehe auch: vice.de

Burkhard Heinz

mediatpress®

Über Burkhard Heinz

Ich bin seit vielen Jahren geschäftsführender Gesellschafter des Medienbeobachtungsunternehmens mediatpress®. Die von mir verfassten Beiträge beschäftigen sich mit den Themen Medien, Kommunikation und Journalismus. Artikel, die auf dieser Website zu lesen sind und nicht von mir stammen, geben nicht immer auch meine Meinung wieder. Anders ist das auf meinem eigenen Blog.