Канадцы научились заказывать еду в McDonald’s бесплатно

Уязвимость в фирменном приложении McDonald’s My McD’s позволяет хакерам оплачивать свои заказы со счетов других пользователей. Многие лишились сотен и тысяч долларов, однако McDonald’s уверена в надежности своего приложения и отказывается возвращать деньги пострадавшим.

«Бесплатный» фастфуд

Клиенты сети McDonald’s столкнулись с кражей денег с их банковских карт, привязанных к профилю в фирменном приложении My McD’s. Неизвестный или группа неизвестных совершали через их аккаунты заказы, на сотни и даже тысячи долларов. Личности преступников на 30 апреля 2019 г. не установлены.

Проблема с безопасностью приложения My McD’s затронула пока только жителей Канады, пишет издание Business Insider. Выбор следующей жертвы хакеры осуществляют не на основе места их проживания – пользователи, с чьих счетов были списаны деньги могут проживать на расстоянии нескольких сотен километров друг от друга, и в их число попал журналист Патрик О’Рурк (Patrick O’Rourke). С его карты была списана крупная сумма в размере 2000 канадских долларов.

С канадца по гамбургеру

По словам Патрика О’Рурка, его аккаунт в My McD’s был использован для совершения более 100 заказов. Все они были совершены в Монреале в период с 12 по 18 апреля 2019 г, преимущественно между 11 и 15 часами дня. Журналист отметил, что краже денег предшествовали сбои в работе приложения – он мог выбрать нужные ему блюда, но не мог оплатить их, ему поступали отказы в проведении транзакции. В определенные дни промежутки между заказами составляли всего несколько минут, на основе чего журналист сделал вывод о том, что его аккаунт был взломан одним человеком, поделившимся затем его личными данными с друзьями или знакомыми.

Проблемы у пользователей My McD’s начались еще как минимум в начале 2019 г., когда 17 января 2019 г. на кражу денег со счета пожаловался канадец Бретт О’Доннелл (Brett O’Donnell). В отличие от Патрика О’Рурка, он лишился существенно меньшей суммы – хакеры совершили заказ на 50 канадских долларов.

В феврале 2019 г. с кражей денег столкнулась и жительница Галифакса Лорен Тейлор (Lauren Taylor). Воспользовавшись ее счетом, привязанным к профилю в My McD’s злоумышленники заказали фастфуд на 484 канадских доллара. Заказ был сделан в Квебеке, за 885 километров от Галифакса.

В период с января по апрель 2019 г. было совершено еще несколько взломов аккаунтов в приложении My McD’s. Жители Канады Патти Дьюк (Patty Duke) и Брайан Коулман (Brian Coleman) лишились 100 и 267 канадских долларов соответственно и тоже отметили, что заказы были сделаны за несколько сотен километров от места их проживания. Каждый раз преступники заказывали различные блюда.

Реакция McDonald’s

Жалобы на проблемы с безопасностью приложения My McD’s стали появляться и в Twitter. В частности, Дуглас Солтис (Douglas Soltys) из Торонто тоже заявил о краже 2000 канадских долларов со своей карты, которая была использована для оплаты заказов по всей Канаде.

Представитель McDonald’s Canada Адам Грачник (Adam Grachnik) на запрос Business Insider сообщил, что компания осведомлена о случаях кражи денег со счетов, но не видит проблему непосредственно в приложении. В компании уверены в надежности My McD’s и не предложили пользователям никаких способов решения проблемы.

Также McDonald’s Canada отказалась возмещать пострадавшим украденные с их счетов денежные средства. Вместо этого компания посоветовала жертвам обратиться за компенсацией в банк, выпустивший их карту.

Фастфуд и информационные технологии

Проблема с My McD’s в Канаде – не первый для McDonald’s в 2019 г. случай проблемы с информационными технологиями. В начале апреля 2019 г. в интернете получил распространение видеоролик, в котором двое жителей Австралии наглядно продемонстрировали, как получить фирменные гамбургеры McDonald’s совершенно бесплатно.

Для этого авторы видеоролика, размещенного на YouTube, использовали уязвимость в системе электронных заказов – при помощи терминала, позволяющего совершать и оплачивать заказ без очереди, они заказали 10 гамбургеров по цене $1 за каждый. Далее они открыли окно настройки заказа и отказались от котлет, что позволило им снизить стоимость каждого гамбургера на $1,1, после чего каждый гамбургер система оценила в -$1, и оставалось только заказать еще один полноценный гамбургер с котлетой за $1. Итоговая сумма заказа составила $0.

Ролик набрал более 3,7 млн просмотров на 30 апреля 2019 г. В комментариях к нему жители Германии и США отметили, что в их странах такой способ обмана электронной системы заказа McDonald’s не работает. О возможности получения бесплатных гамбургеров в других странах присутствия сети ресторанов быстрого питания, включая Россию, информации нет.