App móvil de McDonald’s es hackeada; hamburguesas y papas fritas gratis

En Alemania, tres investigadores expertos en seguridad informática y hacking ético revelaron un método para hackear la app móvil de McDonald’s; valiéndose de algunos huecos y vulnerabilidades de seguridad, los investigadores usaron la app para realizar múltiples pedidos de forma gratuita.

El equipo de hacking ético está conformado por David Albert, Lenny Bakkalian y Mats Tesch, quienes afirman haber descubierto un par de vulnerabilidades en la sección de pedidos de la aplicación móvil de la cadena de comida rápida, las cuales lograron explotar para generar cupones al responder encuestas. El vicepresidente de McDonald’s Alemania menciona que las fallas fueron reportadas a la cadena y ya deben haber sido corregidas.

En su reporte, los hackers mencionan que las vulnerabilidades fueron descubiertas en noviembre pasado mientras realizaban una investigación en la página web de encuestas de McDonald’s. Gracias a una falla en esta plataforma, los hackers diseñaron un programa para automatizar las respuestas de la encuesta, generando una cantidad casi ilimitada de cupones.

La investigación no terminó ahí, pues los investigadores reportaron la detección de otra falla de seguridad en el código de la app, específicamente en la función de generación de cupones, la cual fue abusada para generar cupones de forma arbitraria. El equipo de hacking ético probó estas fallas en una sucursal de McDonald’s ubicada en Hamburgo con previo consentimiento del staff. En un corto periodo de tiempo, los hackers lograron generar 15 pedidos con valor de más de 100 euros.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), los investigadores concretaron el hack manipulando los paquetes de datos mediante su propio servidor proxy, lo que les permitió modificar los pedidos en la app para dejar el monto final en cero. Aunque los equipos de TI de McDonald’s demoraron más de dos semanas, las fallas ya han sido corregidas, aunque algún nuevo método podría ser revelado en el futuro.

Esta clase de errores se han presentado en plataformas similares, principalmente apps de entrega de alimentos (Rappi, Deliveroo, etc.) y otros servicios. Los especialistas consideran que esto se debe a que los desarrolladores emplean bibliotecas de código prácticamente iguales como base de las apps, lo que hace que la misma vulnerabilidad sea explotable en más de una plataforma.