Skip to main content
Technology

Comment J'ai Obtenu des Points Illimités chez Burger King

diego
January 25, 2026
7 min read

L'histoire de comment Burger King Espagne m'a accidentellement permis d'envoyer des points illimités sur mon compte personnel, tout simplement parce qu'ils ont oublié de vérifier un petit détail.

Comment J'ai Obtenu des Points Illimités chez Burger King

Vous connaissez cette sensation satisfaisante quand vous trouvez un code promo qui fonctionne vraiment ? Maintenant multipliez ça par mille. C'est essentiellement ce qui s'est passé quand je suis tombé sur l'un des bugs les plus stupides que j'ai jamais vus dans un programme de fidélité.

Voici l'histoire de comment Burger King Espagne m'a accidentellement permis d'envoyer des points illimités sur mon compte personnel, tout simplement parce qu'ils ont oublié de vérifier un petit détail.

Ne vous inquiétez pas, c'est corrigé maintenant. C'est juste une histoire amusante sur ce qui fut.

Tout a Commencé Avec un Sondage

Burger King Espagne a ce programme de fidélité où vous collectez des "Coronas" (couronnes) et les échangez contre de la nourriture gratuite. Assez standard. L'une des façons de gagner des points était de compléter un simple sondage - vous savez, les questions habituelles du type "quels sont vos hobbies ?". Répondez à quelques questions sur vos préférences entre Netflix ou Disney+, Formule 1 ou MotoGP, et boom - 1 500 points gratuits déposés sur votre compte.

Cool, non ? Des points gratuits juste pour cliquer sur quelques boutons.

Mais voilà le truc. Vous ne pouviez compléter ce sondage qu'une seule fois par compte. Un compte, un sondage, 1 500 points. C'est tout. Juste.

Ou c'est ce que je pensais.

L'URL Qui a Tout Changé

Quand vous étiez invité à compléter le sondage, Burger King vous envoyait vers une URL qui ressemblait à quelque chose comme ça :

https://cloud.info.burgerkingencasa.es/cualificacion-app?sk=XXXXX&loyaltyID=YYYYY

Deux paramètres ont attiré mon attention :

  • sk - C'était l'ID Salesforce, essentiellement un identifiant lié au compte qui a reçu l'invitation au sondage
  • loyaltyID - C'était VOTRE numéro de carte de fidélité, où les points seraient déposés

Et c'est là que les engrenages ont commencé à tourner dans ma tête.

Et si... j'utilisais le lien de sondage de quelqu'un d'autre... mais avec MON loyaltyID ?

Le Bug : Ils N'ont Jamais Vérifié Si C'était Vous

Voici ce que Burger King AURAIT DÛ faire : vérifier que le sk (l'ID de compte) et le loyaltyID (où vont les points) appartiennent réellement à la même personne.

Voici ce que Burger King a VRAIMENT fait : absolument rien. Ils ont simplement fait confiance à ce que vous leur envoyiez.

Donc l'exploit était stupidement simple :

  1. Créer un tout nouveau compte Burger King avec un faux email
  2. Obtenir l'ID Salesforce de ce compte (le paramètre sk)
  3. Construire une URL de sondage en utilisant le sk de ce nouveau compte MAIS avec mon loyaltyID personnel
  4. Compléter le sondage
  5. Regarder 1 500 points apparaître magiquement sur MON compte

Le nouveau faux compte ? Il n'a rien reçu. Tous les points sont allés directement vers moi.

Et le meilleur ? Je pouvais faire ça encore et encore. Chaque nouveau compte que je créais était un nouveau sondage qui pouvait canaliser des points vers mon compte principal.

Automatiser la Machine à Whoppers

Maintenant, faire ça manuellement serait fastidieux. Créer un compte, vérifier l'email, récupérer l'ID, construire l'URL, compléter le sondage... c'est beaucoup de clics pour 1 500 points.

Alors j'ai écrit un petit script pour le faire à ma place.

Le flux était simple :

D'abord, la fabrique de comptes :

  1. Générer une adresse email temporaire en utilisant un de ces services d'email jetables
  2. Appeler l'API d'inscription de Burger King avec le faux email et des données aléatoires
  3. Attendre que l'email de confirmation arrive
  4. Cliquer sur le lien de vérification
  5. Se connecter au nouveau compte et récupérer son ID Salesforce
  6. Sauvegarder l'URL du sondage (avec MON loyaltyID attaché) dans un fichier

Ensuite, le collecteur de points :

  1. Lire toutes ces URLs sauvegardées
  2. Visiter chacune d'elles
  3. Remplir le sondage avec des réponses aléatoires (oui, j'aime Netflix, oui, je regarde la Formule 1, peu importe)
  4. Soumettre
  5. Les points font brrrrr

Chaque cycle prenait peut-être 30 secondes. Chaque cycle valait 1 500 points. Faites le calcul.

Ce Qui a Rendu Cela Possible

En regardant en arrière, plusieurs choses ont dû mal tourner pour que ça fonctionne :

Aucune vérification entre le compte et l'ID de fidélité. C'était le gros problème. Le système faisait aveuglément confiance que si vous aviez un lien de sondage valide, vous méritiez les points - peu importe où ces points allaient.

Création de comptes illimitée. Il n'y avait pas de CAPTCHA, pas de vérification par téléphone, pas de limitation de débit. Vous pouviez créer autant de comptes que vous vouliez, aussi vite que vous vouliez.

Les emails temporaires fonctionnaient parfaitement. Le système acceptait n'importe quel email qui pouvait recevoir du courrier. Ces adresses jetables de 10 minutes ? Parfaitement valides.

Crédit instantané des points. Les points apparaissaient immédiatement. Pas de période d'attente, pas de révision humaine, pas de détection de fraude disant "hé, ce loyaltyID vient de recevoir des points de 47 sondages différents dans la dernière heure."

Le sondage était toujours disponible. Les nouveaux comptes pouvaient immédiatement accéder au sondage de qualification. Pas besoin de faire un achat d'abord ou d'attendre une invitation.

C'était comme s'ils avaient construit une piñata de points et donné une batte de baseball à tout le monde.

Le Butin

Une entreprise de plusieurs milliards de dollars, et leur programme de fidélité pouvait être vidé par quiconque avec des connaissances de base en programmation et un après-midi de libre.

Pourquoi C'est Important (Au-delà des Burgers Gratuits)

Ce n'était pas un hack sophistiqué. Il n'y avait pas d'injection SQL, pas de dépassement de buffer, pas d'exploit zero-day. C'était juste... une vérification manquante. Une instruction if qui aurait dû exister mais n'existait pas.

Et c'est en fait la partie effrayante. La plupart des vulnérabilités de sécurité ne sont pas ingénieuses. Elles sont évidentes avec le recul. Quelqu'un a simplement oublié de vérifier que A correspondait à B.

Si vous construisez un système de récompenses quelconque, voici ce que vous devriez apprendre de l'erreur de Burger King :

Toujours valider la propriété. Si une action implique deux identifiants (comme un ID de compte et un ID de fidélité), vérifiez qu'ils appartiennent à la même personne. À chaque. Putain. De fois.

Limitez la création de comptes. Les humains normaux ne créent pas 100 comptes par heure. Si quelqu'un le fait, c'est un signal d'alarme.

Exigez une vérification réelle. La confirmation par SMS n'est pas parfaite, mais c'est bien mieux que d'accepter n'importe quel email qui existe.

Ajoutez des délais aux récompenses. Si les points prenaient 24-48 heures pour être crédités, il y aurait du temps pour détecter les patterns et arrêter l'abus avant qu'il ne devienne incontrôlable.

Surveillez les anomalies. Un loyaltyID recevant des points de dizaines de sondages de comptes différents ? Ça devrait déclencher une alerte quelque part.

Le Correctif

Finalement, Burger King a compris. Je ne sais pas si quelqu'un l'a signalé ou s'ils ont enfin remarqué l'activité suspecte, mais la fête est arrivée à sa fin.

Maintenant le système vérifie vraiment que votre invitation au sondage correspond à votre compte de fidélité. Concept révolutionnaire, je sais.

Les comptes que j'ai créés sont probablement tous bannis. Les points sont partis. Les Whoppers ont été digérés.

Mais les souvenirs ? Ceux-là sont pour toujours.

Réflexions Finales

Est-ce que c'était éthique ? Discutable. Est-ce que c'était illégal ? Probablement dans un sens technique. Est-ce que c'était délicieux ? Absolument.

Je partage cette histoire non pas comme un guide (encore une fois, c'est corrigé), mais comme un rappel que même les grandes entreprises font des erreurs stupides. La sécurité ne consiste pas à construire des forteresses impénétrables - il s'agit de ne pas laisser la porte arrière grande ouverte avec un panneau qui dit "COURONNES GRATUITES, SERVEZ-VOUS."

À l'équipe de sécurité de Burger King : désolé pour tous ces Whoppers. Ils étaient très bons cependant.

Et à tous ceux qui construisent un programme de fidélité : s'il vous plaît, pour l'amour de tout ce qui est grillé à la flamme, validez vos paramètres.

🍔👑

Cette vulnérabilité a été corrigée. Ce post est uniquement à des fins éducatives et de divertissement. Si vous essayez de reproduire cela, vous serez juste banni et affamé.

Need Expert Web Scraping or Cybersecurity Services?

Let's discuss how ByteWall can help protect and scale your business

© 2026 ByteWall. All rights reserved.

Comment J'ai Obtenu des Points Illimités chez Burger King | ByteWall Blog