Tech

Kostenloses Essen: Diese Typen haben McDonald’s gehackt

McDonald's hackers

Sie könnten die Filiale jetzt leerkaufen. Und das, ohne einen einzigen Cent auszugeben.

Lenny Bakkalian und David Albert haben zwei Sicherheitslücken im Bestellsystem von McDonald’s entdeckt. Nutzt man sie aus, kann man in zwei Schritten endlos Essen bestellen, ohne dafür zahlen zu müssen. Mit ihrem Freund und Kollegen Mats Tesch sind sie nach Berlin gekommen, um ihren Hack zu demonstrieren. An einem Dienstagabend, dem 3. Dezember 2019, sitzen die drei Informatiker um die zwanzig in einer McDonald’s-Filiale im Berliner Osten und wirken hinter ihren aufgeklappten Laptops etwas deplaziert.

Videos by VICE

Während piepende Maschinen im Akkord Fast-Food für die Feierabendkundschaft ausspucken, erklärt der 23-jährige David Albert unaufgeregt den ersten Teil des Hacks. Der Softwareentwickler hat entdeckt, wie man beliebig oft Codes für McDonald’s-Getränkecoupons generieren kann. Albert hat dafür ein Programm geschrieben, den Code hat er VICE zur Verfügung gestellt. Jetzt generiert er darüber an seinem Laptop einen Couponcode, läuft zu einem Bestellterminal im Restaurant und gibt ihn dort ein. Wenig später leuchtet die Bestätigung auf. Er könnte sich jetzt eine kostenlose Cola vom Tresen abholen. Albert bricht den Vorgang ab. Das gleiche funktioniert auch über die McDonald’s-App, mit der man in allen dafür ausgestatteten Filialen Essen bestellen, bezahlen und anschließend mit einer Nummer am Tresen abholen kann. Wie hat David Albert dieses System gehackt?


Auch bei VICE: Die Geschichte des 16-Jährigen, der den Drive-in von McDonald’s hackte


Auf allen McDonald’s-Kassenbelegen steht eine personalisierte URL, die zu einer Umfrage-Seite führt. Füllt man die Umfrage aus und klickt am Ende der Seite auf “Abschließen”, erhält man als Belohnung einen Code für ein kostenloses 0,25-L-Getränk. Albert sagt, er schaue sich aus beruflichem Forschungsinteresse öfter an, wie Websites aufgebaut sind. Als er untersucht habe, welche Info die Umfrage-Seite zum McDonald’s-Server schickt, sei ihm etwas aufgefallen: Es sei immer die gleiche Info gewesen, auf die der McDonald’s-Server jeweils mit einem neuen Gutscheincode antworte. Ungewöhnlich. Also habe er ein Programm geschrieben, das diese Information einfach immer wieder an den Server schickt – und so tut, als habe man einfach immer wieder die Umfrage abgeschlossen. “Ich bekomme dann jedes Mal einen frisch generierten Code, der einen ganzen Monat lang eingelöst werden kann”, sagt Albert.

Nicht nur Getränke, auch Essen lässt sich kostenlos bestellen

Getränke ohne Ende. Aber das ist nur der Anfang. Auf dem Rückweg vom Bestellterminal zum Laptop sagt Albert, er und seine Freunde würden gerne etwas demonstrieren, “das wesentlich schlimmer ist”.

“Ich habe vor ein paar Wochen mit dem Coupon-Generator rumgespielt und nach etwa fünf Stunden eine weitere Sicherheitslücke entdeckt”, erzählt Lenny Bakkalian. Damit könne man sich nicht nur eine kostenlose Cola bestellen, sondern Hunderte Burger. Oder Tausende Cola. Oder beides. In Hamburg haben sie das bereits in einer McDonald’s-Filiale getestet, mit einer Bestellung über 15 Burger im Wert von 106 Euro. Die Filialleiterin war eingeweiht und hat die Bestellung vor der Zubereitung storniert. Dass die drei sich durch die Sicherheitslücke nicht illegal bereichern wollen, betonen sie mehrmals. David zeigt ein Video von der Aktion. Aber weil man Videos leicht manipulieren kann, zeigen die zwei jetzt noch mal vor Ort, wie das ganze funktioniert. In dieser Filiale ist niemand eingeweiht.

Das Kochrezept für ihren All-you-can-eat-Hack:

Albert baut mit seinem Smartphone einen Internet-Hotspot auf, Bakkalian loggt sich mit einem zweiten Smartphone und einem Laptop darin ein. Den Laptop schaltet er als Proxy-Server zwischen die beiden Smartphones: Alle Signale, die über den Proxy laufen, kann er nun verschlüsseln oder manipulieren. In der McDonald’s-App auf seinem Smartphone gibt Lenny als Erstes einen Gutscheincode für ein 0,25-l-Getränk aus Alberts Generator ein. Die Cola kostet 0,00 Euro, wie zuvor am Terminal. Erst danach wählt Bakkalian das Essen aus: einmal Curly Fries, dreimal Pommes, einmal Chicken Nuggets und eine Fanta. Kostenpunkt: 17 Euro. Die Rechnung aus der App kann Bakkalian jetzt über den Proxy als Code auf seinem Laptop sehen. Diese Info kopiert er in ein von ihm geschriebenes Online-Tool, das die Sicherheitslücke ausnutzt. Vereinfacht gesagt schiebt das Tool der Funktion, die alle Preise auf 0,00 Euro setzt, einfach weitere Produkte unter und sendet sie wieder zurück an die App. In der Rechnung auf der McDonald’s-App sind jetzt alle Preise durchgestrichen. Nach ein paar weiteren Schritten tippt er auf “Abschließen und 0,00 Euro bezahlen”. Die App zeigt die Abholnummer 180 an – genauso wie der Bildschirm über den McDonald’s-Tresen.

Für diese McDonald's-Bestellung musste dank eines Hacks nichts bezahlt werden
Für diese McDonald’s-Bestellung musste theoretisch nichts bezahlt werden

“OK, wir holen das jetzt ab und bezahlen dafür”, sagt Albert. Am Tresen erklärt er einer gestressten Mitarbeiterin, was gerade passiert ist. Sie schaut verständnislos und holt den Schichtleiter. “Watt is hier?”, sagt der bullige Mann. “Also es ist so, dass wir uns über die App unendlich viel Essen bestellen können, ohne zu bezahlen”, erklärt Albert. “Na und?”, antwortet der Schichtleiter, der seinen Namen nicht nennen will. Insgesamt viermal lehnt er die 17 Euro von Albert ab. Rechtmäßig für ergaunertes Essen zu bezahlen, scheint in der durchgetakteten Fast-Food-Maschine einfach nicht vorgesehen zu sein. “Entspannt euch, nehmt es mit, genießt es und gut is”, sagt er und schiebt noch nach: Die Sicherheitslücke sei außerdem längst bekannt. Das stimmt sogar.

McDonald’s reagiert lange nicht auf die Sicherheitslücke

Bereits am 21. November 2019 hatte Lenny Bakkalian McDonald’s in einer Mail die Sicherheitslücke ausführlich geschildert. Man habe das an die zuständigen Kollegen weitergeleitet, prüfe den Fall und werde sich melden, antwortete ein Service-Mitarbeiter. So dringend scheint es McDonald’s nicht zu sein: Die Sicherheitslücke besteht auch zwei Wochen später noch.

In der Berliner Filiale scheinen die drei nicht gerade glücklich darüber zu sein, dass der Schichtleiter ihr Geld nicht annehmen will. David Albert schlägt vor, das Essen zu verschenken, vielleicht an obdachlose Menschen. “Ich will davon nicht profitieren.” Während wir in den umliegenden Straßen des S-Bahnhofs nach hungrigen Menschen suchen, erklärt Lenny Bakkalian, warum er und seine Freunde die Sicherheitslücken öffentlich gemacht haben.

“Kriminelle könnten damit Geld verdienen, indem sie die Gutscheine generieren und online verkaufen.”

Wenn jemand mit böser Absicht eine App veröffentliche, die den Hack automatisiert, könnten Millionen Menschen kostenlos bei McDonald’s essen, sagt Bakkalian. “Kriminelle könnten damit Geld verdienen, indem sie die Gutscheine generieren und online verkaufen”, ergänzt Albert. Er hoffe, dass die Lücke endlich geschlossen werde. Denn trotz ihrer Mail ist bis zum 3. Dezember nichts passiert. Und eine weitere Sache sei ihm noch wichtig, sagt Albert: “Lenny und Mats sind meine Freunde und ich möchte, dass sie sich nach ihrer Ausbildung mit solchen Entdeckungen auf gute Jobs bewerben können.”

McDonald’s Deutschland befürchtete offenbar nicht, dass jemand den Hack automatisieren und ins Netz stellen könnte, obwohl das laut Bakkalian sehr einfach wäre. “Unsere App erfüllt alle herkömmlichen Sicherheitsanforderungen”, schreibt eine Sprecherin von McDonald’s Deutschland am 5. Dezember gegenüber VICE: “Tatsächlich ist es nicht so, dass es eine grundsätzliche Schwachstelle gibt, die jedem Nutzer erlaubt, unbegrenzte Bestellungen aufzugeben.” Das ginge nur mit äußerst fundierten IT-Kenntnissen. Außerdem warnt die Sprecherin davor, es zu versuchen, man könne sich strafbar machen. “Nichtsdestotrotz arbeiten wir selbstverständlich aktuell mit Hochdruck daran, diesen Weg zu schließen”, schreibt die Sprecherin. Warum dieser Prozess zu diesem Zeitpunkt schon zwei Wochen andauert, sagt sie nicht. Ebensowenig, ob McDonald’s wie viele andere Unternehmen ein Bug-Bounty-Programm betreibt, in dem Entdecker von Sicherheitslücken belohnt werden. Man stehe jedoch mit den beiden Informatikern im Kontakt: “Der Dialog mit so talentierten Menschen ist für uns sehr spannend.” Später teilt Lenny Bakkalian VICE mit, dass die Freunde von McDonald’s eine Belohnung erhalten hätten.

Erst Mitte Dezember hat McDonald’s die Sicherheitslücke schließlich geschlossen. Um Nachahmern keine Anleitung zu geben, hat VICE bis jetzt mit der Veröffentlichung gewartet.

Zurück an der Berliner Filiale sind die drei nach 15 Minuten noch immer auf der Suche nach Abnehmern für das Essen. Unter einer Brücke sitzt eine junge Frau auf dem Betonboden, neben ihr liegt ein Fahrrad. Sie trägt Jeans und einen dünnen Mantel, die Temperaturen stehen bei einem Grad. Ob jemand eine Zigarette habe, fragt sie und bekommt eine. Und das Essen? Ja, also, sie müsse nachdenken, sagt sie, deshalb sitze sie hier. Schließlich nimmt sie das Essen doch an, sagt “wirklich cool von euch” und wünscht allen eine gute Nacht.

Folge VICE auf Facebook, Instagram und Snapchat.