Lo scorso novembre, i due sviluppatori di software Lenny Bakkalian e David Albert hanno individuato due falle nel sistema dei McDonald’s in tutta la Germania, ritrovandosi con la possibilità di ordinare una quantità illimitata di cibo gratis. A dicembre sono andato a conoscere i due Arsenio Lupin dell’hamburger e il loro collega Mats Tesch in un McDonald’s di Berlino Est, per osservare con i miei occhi il funzionamento del loro sistema.
Prima, però, qualche dettaglio: le ricevute del McDonald’s in Germania contengono un link a un questionario. Una volta completatolo, ricevi un coupon per una bevanda piccola gratis da utilizzare entro un mese. Un giorno, David stava casualmente guardando il codice del sito e ha notato che l’informazione che faceva creare un nuovo voucher era sempre la stessa. Questo voleva dire che sarebbe stato possibile costruire un programma che generasse quel codice, come se si stesse facendo il questionario più volte di seguito. Ma che cosa te ne fai di bevande illimitate senza nulla di solido da mettere sotto i denti?
Videos by VICE
“Ho giochicchiato un po’ con il generatore di coupon e dopo circa cinque ore ho trovato un’altra vulnerabilità,” ha spiegato Lenny. Grazie a questa avrebbero potuto avere gratis anche il cibo.
Al McDonald’s di Berlino, David ha iniziato la dimostrazione mettendo su un hotspot con lo smartphone, mentre Lenny lo collegava a un secondo cellulare e a un computer. Poi, ha trasformato il computer in un server proxy connesso a entrambi i telefoni. Ha aperto la app di McDonald’s e immesso un codice per un voucher generato dal programma di David. Il passo successivo è stato ordinare da mangiare per un valore di 17 euro. Il conto dalla app è stato trasmesso al laptop, che ha impostato tutti i prezzi sullo zero grazie a un programma creato da Lenny e rimandato le informazioni alla app. Dopo aver cliccato “completa e paga 0.00 euro,” abbiamo semplicemente ricevuto il nostro numero per la consegna. Aveva funzionato.
Tutta la mia esaltazione per poter mangiare gratis un sacco di carne industriale si è presto sgonfiata quando i ragazzi mi hanno detto che non lo facevano per mangiare gratis, ma solo per dare una dimostrazione. “Ok, adesso andiamo a ritirare e paghiamo,” ha detto David, che non voleva privare una catena miliardaria di 17 euro. Poi ha cercato di spiegare l’accaduto al cassiere. “Non preoccuparti, mangia, è tutto a posto,” ha risposto il direttore del fast food, rifiutando i soldi offerti.
I ragazzi mi hanno detto che non è sempre andata così: quando hanno tentato di dirottare la app per 15 hamburger ad Amburgo e hanno detto al direttore che cosa stavano facendo, l’ordine è stato cancellato prima di essere preparato. Ma ora che avevano la possibilità di godere dei frutti della loro truffa, se la sono fatta sotto. Poi hanno deciso di regalare il cibo a una persona senzatetto incontrata lì fuori.
A quel punto ero curioso di sapere perché si fossero presi la briga di inventare un modo per fregare il sistema se non per mangiare a spese di Ronald McDonald. All’inizio, David mi ha detto che erano preoccupati che “dei criminali facessero soldi generando coupon e vendendoli online.” Più avanti, ha aggiunto che “Lenny e Mats sono miei amici, voglio che abbiano la possibilità di trovare un buon lavoro dopo la scuola e scoperte come questa li possono aiutare.” È questo che ha spinto i ragazzi a contattare McDonald’s e spiegare il loro hack a novembre 2019. Un dipendente del servizio clienti ha detto che se ne sarebbero occupati, ma due settimane dopo la truffa funzionava ancora.
Molte grandi aziende mettono in atto programmi di cosiddetta “caccia al bug” che premiano persone che scoprono questo tipo di errori nel codice. Quando VICE ha contattato McDonald’s, una portavoce non ha voluto confermare l’esistenza di un programma di questo tipo, ma ha detto che la app di McDonald’s “rispondeva a tutti i requisiti di sicurezza convenzionali.” Ha aggiunto che soltanto una persona con una conoscenza approfondita di programmazione sarebbe stata capace di sfruttarne le falle—e che questo avrebbe portato conseguenze legali. “Tuttavia, siamo tuttora al lavoro per colmare questa lacuna, naturalmente,” ha detto.
Lenny più avanti ha confermato di aver ricevuto una qualche forma di ricompensa da McDonald’s. Il bug è stato finalmente corretto a metà dicembre. Quindi la prossima volta che ti troverai casualmente a esplorare il codice del sito di McDonald’s, dovrai trovare un altro modo per accaparrarti un pasto gratuito.