Imagine você poder realizar quantos pedidos quiser no McDonald’s e não ter que arcar com um só centavo para isso. Bem, essa mamata virtual era o que vinha acontecendo no sistema da multinacional de fast-food na Alemanha. De acordo com o The Hack, isso era possível graças a duas vulnerabilidades na rede, que foram descobertas acidentalmente por dois pesquisadores de cibersegurança.
Lenny Bakkalian e David Albert descobriram esses bugs em novembro de 2019. A primeira falha estava na operação usada para recompensar clientes que respondem a um levantamento sobre a qualidade do atendimento. Ao fazer o pedido, o usuário recebia um código no final da nota fiscal, com token e um endereço web para completar o formulário. Assim, o consumidor ganhava um voucher para resgatar gratuitamente um copo pequeno de refrigerante, em sua próxima visita.
Depois de observar esse comportamento, Albert percebeu que o script exigia sempre o mesmo procedimento para liberar o mimo. A partir daí, foi só automatizar o gatilho e simular uma pessoa respondendo à pesquisa infinitamente — gerando assim quantos cupons bem entendesse.
–
Baixe nosso aplicativo para iOS e Android e acompanhe em seu smartphone as principais notícias de tecnologia em tempo real.
–
Lanches também podiam ser obtidos da mesma forma
É claro que nenhum pesquisador que ache um bug para por aí. Então, a dupla aprimorou esse software que enganava o gerador de cupons para aplicar a gratuidade em quaisquer outros produtos. Para explorar essa segunda vulnerabilidade, eles precisaram apenas usar um laptop como “proxy” para interceptar as informações do app, remover o valor do pedido e devolver os dados para o smartphone. Isso permitia que eles encerrassem a compra sem precisar pagar absolutamente nada.
Eles fizeram testes em dois estabelecimentos. No primeiro, requisitaram 15 lanches, mas avisaram se tratar de um bug no sistema e disseram para os funcionários cancelarem a entrega. No segundo, o gerente insistiu em entregar o pedido, que no final foi destinado a uma pessoa em situação de rua. Depois disso, a falha foi consertada e os especialistas foram recompensados — por valores (ou lanches) não divulgados.
Trending no Canaltech:
- PREÇO CAIU! Redmi Note 8, Note 8T e Mi A3 a partir de R$ 893 em até 10x
- GeForce RTX 2080 Ti de Cyberpunk 2077 é linda, mas você não pode comprá-la
- MUITO BARATO! Power Bank Samsung Fast Charge com 10.000 mAh por apenas R$ 99
- Internet está em seu nível mais perigoso desde 2016, afirma Microsoft
- Novo chip cerebral deve ajudar no tratamento de doenças como Alzheimer e câncer
Fonte: Canaltech
