Estos tíos descubrieron como conseguir comida gratis infinita en McDonald's

En noviembre de 2019, Lenny Bakkalian y David Albert, ambos programadores, descubrieron dos fallos de seguridad en la página web alemana de McDonald’s que les permitía pedir toda la comida gratis que quisieran. El pasado diciembre, entrevistamos a estos dos ladrones de hamburguesa y a su compañero, Mats Tesch, en un McDonald’s al este de Berlín para que nos enseñaran cómo lo habían hecho.

En el sitio web de McDonald’s, cuando haces un pedido, hay un enlace al final de la cuenta que lleva a una encuesta. Cuando terminas la encuesta, te dan un cupón que puedes canjear por una bebida pequeña. Un día, David se dio cuenta de que el código de la página que generaba el cupón era siempre el mismo. Es decir, podía escribir un programa que replicara el código, como si alguien estuviera realizando la encuesta constantemente. ¿Pero quién quiere bebidas pequeñas infinitas si no tiene nada que llevarse a la boca? “Empecé a juguetear con el código del generador de cupones y, unas cinco horas después, descubrí otro fallo”, me contó Lenny. Podía pedir toda la comida que quisiera y gratis.

Comienza la demostración. David convierte su teléfono en un punto de acceso wifi al que Lenny se conecta con otro teléfono y un portátil. Luego, convierte el ordenador en un servidor proxy conectado a ambos teléfonos. Abre la aplicación de McDonald’s e introduce uno de los códigos generados por el programa de David. El siguiente paso es finalizar el pedido de 17 euros. La factura se envía al ordenador, que cambia los precios a cero a través de un programa creado por Lenny y reenvía la información a la aplicación. Tras dar a “Completar y pagar 0,00 euros”, recibimos un código para recoger nuestro pedido. Funciona.

La alegría de conseguir carne procesada gratis se desvaneció cuando me dijeron que no lo hacían por la comida gratis, que era solo una demostración. “Vamos a recogerlo y lo pagamos”, dijo David, que no quería robarle 17 euros a una cadena multimillonaria. Trató de explicarle al cajero lo que había pasado “Tranquilos y disfrutadlo. No pasa nada”, le contestó el encargado, negándose a aceptar el dinero.

Me contaron que no siempre salía así de bien. En Hamburgo, habían intentado hackear la aplicación para conseguir 15 hamburguesas. Cuando le contaron al encargado lo que estaban haciendo, este canceló el pedido antes de que la prepararan. Pero cuando por fin pueden conseguir un botín de verdad, se acobardan. Decidieron darle la comida a algún vagabundo de la zona.

Por curiosidad, les pregunté de qué les servía hackear la página web si no tenían intención de comer a costa de Ronald McDonald’s. Al principio, David dijo que les preocupaba que “algún delincuente lo usara para ganar dinero generando cupones y vendiéndolos en internet”. Después, añadió: “Lenny y Mats son mis amigos. Quiero que después de acabar sus estudios puedan encontrar un buen trabajo y este tipo de descubrimientos les va a ayudar”. Fue lo que les motivó a escribir a McDonald’s en noviembre de 2019 para informarles del problema. Un empleado les dijo que le echarían un vistazo, pero dos semanas después todavía no lo habían arreglado.

Muchas compañías tienen programas de bug bounty en los que ofrecen recompensas atractivas a quien descubra este tipo de fallos de código. Contactamos con McDonald’s y una representante nos dijo que la aplicación de McDonald’s “cumplía todos los requisitos de seguridad convencionales”, aunque no confirmó la existencia de ningún programa de bug bounty. Además, nos dijo que solo alguien con un amplio conocimiento de programación podría explotar estas vulnerabilidades y que la compañía podría demandarlos. “Sin embargo, estamos trabajando para acabar con este problema, claro está”, dijo.

Lenny me confirmó más tarde que McDonald’s les había recompensado de alguna forma. A mediados de diciembre, arreglaron el fallo finalmente. En cualquier caso, la próxima vez que te dé por ponerte a leer el código de McDonald’s así, sin más, vas a tener que buscarte otra forma de conseguir comida por la cara.

Este artículo se publicó originalmente en VICE Alemania.