Bug no sistema do McDonald's forneceu lanches de graça sem limite de quantidade

Por Claudio Yuge | 19 de Fevereiro de 2020 às 08h40
Business Insider

Imagine você poder realizar quantos pedidos quiser no McDonald's e não ter que arcar com um só centavo para isso. Bem, essa mamata virtual era o que vinha acontecendo no sistema da multinacional de fast-food na Alemanha. De acordo com o The Hack, isso era possível graças a duas vulnerabilidades na rede, que foram descobertas acidentalmente por dois pesquisadores de cibersegurança.

Lenny Bakkalian e David Albert descobriram esses bugs em novembro de 2019. A primeira falha estava na operação usada para recompensar clientes que respondem a um levantamento sobre a qualidade do atendimento. Ao fazer o pedido, o usuário recebia um código no final da nota fiscal, com token e um endereço web para completar o formulário. Assim, o consumidor ganhava um voucher para resgatar gratuitamente um copo pequeno de refrigerante, em sua próxima visita.

Imagem: The Hack/Reprodução

Depois de observar esse comportamento, Albert percebeu que o script exigia sempre o mesmo procedimento para liberar o mimo. A partir daí, foi só automatizar o gatilho e simular uma pessoa respondendo à pesquisa infinitamente — gerando assim quantos cupons bem entendesse.

Lanches também podiam ser obtidos da mesma forma

É claro que nenhum pesquisador que ache um bug para por aí. Então, a dupla aprimorou esse software que enganava o gerador de cupons para aplicar a gratuidade em quaisquer outros produtos. Para explorar essa segunda vulnerabilidade, eles precisaram apenas usar um laptop como “proxy” para interceptar as informações do app, remover o valor do pedido e devolver os dados para o smartphone. Isso permitia que eles encerrassem a compra sem precisar pagar absolutamente nada.

Eles fizeram testes em dois estabelecimentos. No primeiro, requisitaram 15 lanches, mas avisaram se tratar de um bug no sistema e disseram para os funcionários cancelarem a entrega. No segundo, o gerente insistiu em entregar o pedido, que no final foi destinado a uma pessoa em situação de rua. Depois disso, a falha foi consertada e os especialistas foram recompensados — por valores (ou lanches) não divulgados.

Fonte: The Hack  

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.