Gute Hamburger Hacker erbeuten Hamburger mit Mac-Hack
Drei Hacker aus Hamburg haben eine Sicherheitslücke im Bestellsystem von McDonald's entdeckt. Wer beide ausnutzt, kann unbegrenzt Essen und Getränke bestellen - ohne dafür zahlen zu müssen.
Hacker haben es immer nur auf Geld oder Aktivismus abgesehen? Nein, manchmal geht es auch um Hamburger! Etwas verwirrender wird diese Geschichte dadurch, dass die Hacker, um die es hier geht, selbst Hamburger sind.
Wie das Magazin "Vice" berichtet, entdeckten die Entwickler Lenny Bakkalian, David Albert und Mats Tesch zwei Sicherheitslücken. Diese machten das Bestellsystem des Fastfood-Anbieters McDonald’s verwundbar. Wer die erste Lücke ausnützt, kann beliebig viele Gutscheine für Gratisgetränke generieren.
Eigentlich müsste man hierfür jeweils eine Onlineumfrage beantworten. Die Umfragewebsite schickt die Info einem McDonald’s-Server und dieser antwortet mit einem Gutscheincode. Die Info, welche die Website abschickt, ist jedoch stets dieselbe. Darum konnten die Entwickler diesen Schritt auch mit einem Tool automatisieren.
Die zweite Lücke baut auf die erste auf, ist aber deutlich gravierender. So könne man im Bestellsystem der Funktion, die den Preis des Getränks auf 0,00 Euro setzt, einfach weitere Produkte unterschieben. Die drei Entwickler haben die Schwachstellen McDonald’s gemeldet.
In Absprache mit einer Filialleiterin demonstrierten sie auch, wie der Trick funktioniert: 15 Burger im Wert von rund 106 Euro waren in der Bestellung – unterm Strich stand jedoch 0 Euro. Mitte Dezember schloss der Fastfood-Anbieter die Schwachstellen.
Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/Security tun. Der Blog wird laufend aktualisiert.
Zum Nachschlagen:
Das IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.
Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.
Ein Vierteljahrhundert zwischen Hype und Disruption
Datensouveräne KI – Datenhoheit und KI-Innovation im Unternehmenskontext
Warum Cyber-Schutz für Verwaltungen unverzichtbar ist
Studie stellt Wirksamkeit von Anti-Phishing-Schulungen in Frage
"Die Digitalisierung ist Realität – wie gestalten wir sie?"
Die sichere und souveräne Schweizer Alternative zu Microsoft 365: aXc-ONE
Der bargeldlose Zahlungsverkehr wird fit für SCION
Digitale Souveränität auf einer Big-Tech-Plattform nicht sichergestellt?
Aufs Auge gedruckt
