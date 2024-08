Afgelopen november vonden software-ontwikkelaars Lenny Bakkalian en David Albert twee mazen in het systeem van McDonald’s in Duitsland. Ze ontdekten een trucje waardoor ze eindeloos gratis Big Macs, McFlurry’s en waar ze maar zin in hadden konden bestellen. Ik ontmoet de twee jongens en hun collega Mats Tesch in een McDonald’s in Berlijn, waar ze me een demonstratie geven.

Als je in een Duitse McDonald’s je bonnetje krijgt, staat er onderaan een link naar een online vragenlijst. Vul die in, en je krijgt een code voor een gratis frisdrank. Op een dag ging David wat rondneuzen in de broncode van de site, en kwam erachter dat als er een nieuwe voucher werd aangemaakt, dat altijd gebeurde op basis van dezelfde informatie. Dat betekende dat hij een programma kon bouwen waarmee hij deze code kon repliceren, zodat het leek alsof iemand heel vaak achter elkaar de vragenlijst invult.

Zo kon hij dus gratis aan frisdrank komen. “Toen zat ik nog wat dingen uit te proberen met de coupongenerator, en vijf uur later kwam ik nog een andere kwetsbaarheid tegen,” zegt Lenny. Hierdoor kon hij ook gratis eten bestellen.

In het McDonald’s-filiaal in Berlijn maakt David een hotspot-verbinding aan met zijn telefoon, waar Lenny vervolgens gebruik van maakt via een andere telefoon en een laptop. Die gebruikt hij om een proxyserver op te zetten, die hij verbindt met beide telefoons. Hij opent de app van McDonald’s en vult de code in die Davids programma heeft gegenereerd. Daarna bestellen we eten ter waarde van zeventien euro. De rekening op de app wordt doorgegeven aan de laptop, waarop een ander programma – gemaakt door Lenny – alle afzonderlijke prijzen op nul euro zet, en die informatie terugstuurt naar de app. Nadat we op ‘Voltooi en betaal 0,00 euro’ hebben geklikt, krijgen we ons afhaalbonnetje. Het werkt!

De buit!

Mijn enthousiasme over al dit gratis vreten verdwijnt zodra de jongens vertellen dat ze deze hamburgers en friet helemaal niet hoeven – dit was alleen een demonstratie. “We kunnen het eten ook gewoon ophalen en ervoor betalen,” zegt David, die het niet zo ziet zitten om de fastfoodgigant zeventien euro af te troggelen. Hij probeert een werknemer uit te leggen wat ze hebben gedaan. “Maak je geen zorgen en geniet ervan,” zegt de filiaalmanager daarna. “Het is goed zo, laat maar zitten.”

De jongens vertellen dat het niet altijd zo is gegaan. Toen ze in Hamburg vijftien gratis burgers probeerden te scoren, had de manager het al snel door en annuleerde de bestelling voordat alles was klaargemaakt. Nu nemen ze liever geen risico meer. Ze besluiten het eten van vanavond weg te geven aan een dakloze in de buurt.

Ik vraag de jongens waarom ze zoveel moeite in een hack steken, maar er vervolgens helemaal geen gebruik van willen maken. David zegt dat ze eerst bang waren dat “criminelen geld zouden verdienen door coupons te genereren en online te verkopen. En Lenny en Mats zijn mijn vrienden, ik wil dat ze na school een goede baan krijgen, en dit soort ontdekkingen helpen daarbij.” Daarom besloten de jongens McDonald’s te vertellen wat ze hadden ontdekt. Een medewerker van de klantenservice zei ernaar te gaan kijken, maar twee weken later werkte de hack nog steeds.

Veel grote bedrijven belonen mensen die kwetsbaarheden blootleggen. Toen VICE McDonald’s benaderde, zei een woordvoerder dat ze niet kon bevestigen dat dit onderdeel van het beleid was, maar wel dat de app van McDonald’s voldoet aan “alle gebruikelijke beveiligingseisen”. Ze zei dat alleen mensen die heel goed kunnen programmeren in staat zijn om kwetsbaarheden te ontdekken – en dat zij aansprakelijk zouden kunnen worden gesteld. “Ondertussen proberen we natuurlijk om dat op te lossen,” zei ze.

Later bevestigt Lenny wel dat ze een beloning van McDonald’s hebben gekregen. De kwetsbaarheden zijn inmiddels opgelost. Dus mocht je nou binnenkort de site van McDonald’s onderzoeken om te kijken of er toevallig nog ergens een lek zit, dan zul je iets anders moeten proberen om aan gratis eten te komen.

Dit artikel verscheen oorspronkelijk bij VICE Duitsland