Imagine você poder realizar quantos pedidos quiser no McDonald’s e não ter que arcar com um só centavo para isso. Bem, essa mamata virtual era o que vinha acontecendo no sistema da multinacional de fast-food na Alemanha.
De acordo com o The Hack, isso era possível graças a duas vulnerabilidades na rede, que foram descobertas acidentalmente por dois pesquisadores de cibersegurança.
Lenny Bakkalian e David Albert descobriram esses bugs em novembro de 2019. A primeira falha estava na operação usada para recompensar clientes que respondem a um levantamento sobre a qualidade do atendimento. Ao fazer o pedido, o usuário recebia um código no final da nota fiscal, com token e um endereço web para completar o formulário. Assim, o consumidor ganhava um voucher para resgatar gratuitamente um copo pequeno de refrigerante, em sua próxima visita.
Depois de observar esse comportamento, Albert percebeu que o script exigia sempre o mesmo procedimento para liberar o mimo. A partir daí, foi só automatizar o gatilho e simular uma pessoa respondendo à pesquisa infinitamente — gerando assim quantos cupons bem entendesse.
É claro que nenhum pesquisador que ache um bug para por aí. Então, a dupla aprimorou esse software que enganava o gerador de cupons para aplicar a gratuidade em quaisquer outros produtos. Para explorar essa segunda vulnerabilidade, eles precisaram apenas usar um laptop como “proxy” para interceptar as informações do app, remover o valor do pedido e devolver os dados para o smartphone. Isso permitia que eles encerrassem a compra sem precisar pagar absolutamente nada.
Eles fizeram testes em dois estabelecimentos. No primeiro, requisitaram 15 lanches, mas avisaram se tratar de um bug no sistema e disseram para os funcionários cancelarem a entrega. No segundo, o gerente insistiu em entregar o pedido, que no final foi destinado a uma pessoa em situação de rua. Depois disso, a falha foi consertada e os especialistas foram recompensados — por valores (ou lanches) não divulgados.
// Canaltech