A recompensa. Foto: Tim GeyerEste artigo apareceu originalmente em AORT Alemanha .
Em novembro passado, os desenvolvedores de software Lenny Bakkalian e David Albert descobriram duas brechas no mercado alemão McDonald's sistema que lhes permitia encomendar um suprimento infinito de comida grátis. Recentemente, conheci os dois Hamburglars e seu colega Mats Tesch em um McDonald's de Berlim Oriental para que eles pudessem me mostrar como eles faziam isso.
Os recibos do McDonald's na Alemanha terminam com um link para uma página de pesquisa. Depois de responder à pesquisa, você recebe um código de cupom para uma pequena bebida grátis, resgatável em um mês. Um dia, David estava verificando como a codificação do site estava estruturada quando percebeu que as informações que acionavam o servidor para emitir um novo voucher eram sempre as mesmas. Isso significava que ele poderia construir um programa replicando o código, como se alguém estivesse respondendo a pesquisa várias vezes.
Mas quem quer bebidas ilimitadas sem nada para afundar os dentes? 'Eu brinquei com o gerador de cupons e, depois de cerca de cinco horas, descobri outra vulnerabilidade', explicou ele - uma vulnerabilidade que lhes permitia pedir comida grátis.
No McDonald's em Berlim Oriental, David começou a manifestação configurando um hotspot de internet com seu smartphone. Lenny se conectou com um segundo telefone e um laptop, depois transformou o laptop em um servidor proxy conectado a ambos os telefones. Ele abriu o aplicativo do McDonald's e inseriu um código de voucher gerado pelo programa de David. O passo seguinte foi encomendar a comida por um total de 17€. A conta do aplicativo era transmitida ao laptop, que zerava todos os preços por meio de um programa criado por Lenny, e enviava as informações de volta ao aplicativo. Depois de tocar em 'Concluir e pagar 0,00 euros', simplesmente recebemos nosso número de retirada. Tinha funcionado.
Mats, Lenny e David. Foto do autor, edição da AORT.
Minha empolgação crescente sobre a carne processada grátis logo foi esvaziada quando os caras me disseram que não estavam realmente lá para a comida grátis – que isso era apenas uma demonstração. 'Ok, vamos buscá-lo e pagar por ele', disse David, não querendo tosquiar a rede multinacional bilionária de € 17. No balcão, ele tentou explicar o que acabara de fazer. 'Relaxe e aproveite - está tudo bem', disse o gerente, recusando seu dinheiro.
Os caras me disseram que nem sempre foi assim – quando eles tentaram hackear o aplicativo para 15 hambúrgueres em Hamburgo, os meninos disseram ao gerente o que estavam fazendo e o pedido foi cancelado antes de ser preparado. Desta vez, eles decidiram dar a comida para um morador de rua nas proximidades.
Curioso, perguntei aos meninos por que eles inventaram o truque se não para comer na moeda de um centavo de Ronald McDonald. A princípio, David disse que estava preocupado que 'os criminosos ganhassem dinheiro gerando os cupons e vendendo-os online'. Mais tarde, ele acrescentou: 'Lenny e Mats são meus amigos - quero que eles possam se candidatar a bons empregos depois da escola, e descobertas como essa ajudarão nisso'. Foi isso que motivou os meninos a entrar em contato com o McDonald's sobre o hack em novembro de 2019. Um funcionário do atendimento ao cliente disse que iria investigar, mas duas semanas depois o hack ainda estava funcionando.
Muitas grandes empresas executam os chamados programas de 'recompensa de bugs' que recompensam as pessoas que descobrem esses tipos de erros de codificação. Quando a AORT entrou em contato com o McDonald's, um porta-voz não confirmou a existência de tal programa, mas disse que o aplicativo do McDonald's atendia a 'todos os requisitos convencionais de segurança'. Ela acrescentou que apenas alguém com profundo conhecimento de programação poderia explorar as brechas – e que seria responsável por processo. 'No entanto, estamos trabalhando diligentemente para fechar essa lacuna, é claro', disse ela.
Lenny confirmou mais tarde que eles receberam alguma forma de recompensa do McDonald's, e a brecha foi finalmente corrigida em meados de dezembro de 2019. Então, da próxima vez que você estiver navegando casualmente pelo código no site do McDonald's, terá que descobrir outra maneira de obter-se uma refeição grátis.
Este artigo apareceu originalmente em AORT DE.