Como Consegui Pontos Ilimitados no Burger King
A história de como o Burger King Espanha acidentalmente me permitiu enviar pontos ilimitados para minha conta pessoal, tudo porque esqueceram de verificar um pequeno detalhe.
Conhece aquela sensação satisfatória quando encontra um código de cupom que realmente funciona? Agora multiplique isso por mil. Isso é basicamente o que aconteceu quando me deparei com um dos bugs mais estúpidos que já vi num programa de fidelidade.
Esta é a história de como o Burger King Espanha acidentalmente me permitiu enviar pontos ilimitados para minha conta pessoal, tudo porque esqueceram de verificar um pequeno detalhe.
Não se preocupe, já está corrigido. Isto é apenas uma história divertida sobre o que foi.
Tudo Começou Com Um Inquérito
O Burger King Espanha tem este programa de fidelidade onde coleciona "Coronas" (coroas) e as troca por comida grátis. Bastante padrão. Uma das formas de ganhar pontos era completando um simples inquérito - sabe, as perguntas habituais do tipo "quais são os seus hobbies?". Responda algumas coisas sobre se prefere Netflix ou Disney+, Fórmula 1 ou MotoGP, e boom - 1.500 pontos grátis depositados na sua conta.
Fixe, não é? Pontos grátis só por clicar em alguns botões.
Mas aqui está a coisa. Só podia completar este inquérito uma vez por conta. Uma conta, um inquérito, 1.500 pontos. É isso. Justo.
Ou assim pensava eu.
O URL Que Mudou Tudo
Quando era convidado a completar o inquérito, o Burger King enviava-o para um URL que parecia algo assim:
https://cloud.info.burgerkingencasa.es/cualificacion-app?sk=XXXXX&loyaltyID=YYYYY
Dois parâmetros chamaram a minha atenção:
- sk - Este era o ID do Salesforce, basicamente um identificador ligado à conta que recebeu o convite para o inquérito
- loyaltyID - Este era o SEU número de cartão de fidelidade, onde os pontos seriam depositados
E foi aí que as engrenagens começaram a girar na minha cabeça.
E se... eu usasse o link do inquérito de outra pessoa... mas com O MEU loyaltyID?
O Bug: Nunca Verificaram Se Era Você
Aqui está o que o Burger King DEVERIA ter feito: verificar que o sk (o ID da conta) e o loyaltyID (para onde vão os pontos) realmente pertencem à mesma pessoa.
Aqui está o que o Burger King REALMENTE fez: absolutamente nada. Simplesmente confiaram no que você enviasse.
Então o exploit era estupidamente simples:
- Criar uma conta nova do Burger King com um email falso
- Obter o ID do Salesforce dessa conta (o parâmetro
sk) - Construir um URL de inquérito usando o
skdessa nova conta MAS com o meu loyaltyID pessoal - Completar o inquérito
- Ver 1.500 pontos aparecerem magicamente na MINHA conta
A nova conta falsa? Não recebeu nada. Todos os pontos foram diretamente para mim.
E a melhor parte? Podia fazer isto vezes sem conta. Cada nova conta que criava era um inquérito fresco que podia canalizar pontos para a minha conta principal.
Automatizando a Máquina de Whoppers
Agora, fazer isto manualmente seria tedioso. Criar conta, verificar email, obter o ID, construir o URL, completar o inquérito... são muitos cliques para 1.500 pontos.
Então escrevi um pequeno script para fazer isso por mim.
O fluxo era simples:
Primeiro, a fábrica de contas:
- Gerar um endereço de email temporário usando um desses serviços de email descartável
- Chamar a API de registro do Burger King com o email falso e alguns dados aleatórios
- Esperar que o email de confirmação chegue
- Clicar no link de verificação
- Entrar na nova conta e obter o seu ID do Salesforce
- Guardar o URL do inquérito (com O MEU loyaltyID anexado) num ficheiro
Depois, o colhedor de pontos:
- Ler todos esses URLs guardados
- Visitar cada um
- Preencher o inquérito com respostas aleatórias (sim, gosto de Netflix, sim, vejo Fórmula 1, tanto faz)
- Submeter
- Os pontos fazem brrrrr
Cada ciclo levava talvez 30 segundos. Cada ciclo valia 1.500 pontos. Faça as contas.
O Que Tornou Isto Possível
Olhando para trás, várias coisas tiveram de correr mal para isto funcionar:
Sem verificação entre conta e ID de fidelidade. Este foi o grande. O sistema confiava cegamente que se tinha um link de inquérito válido, merecia os pontos - independentemente de para onde esses pontos iam.
Criação ilimitada de contas. Não havia CAPTCHA, nem verificação de telefone, nem limitação de taxa. Podia criar quantas contas quisesse, tão rápido quanto quisesse.
Emails temporários funcionavam perfeitamente. O sistema aceitava qualquer email que pudesse receber correio. Aqueles endereços descartáveis de 10 minutos? Perfeitamente válidos.
Crédito instantâneo de pontos. Os pontos apareciam imediatamente. Sem período de espera, sem revisão humana, sem deteção de fraude a dizer "ei, este loyaltyID acabou de receber pontos de 47 inquéritos diferentes na última hora."
O inquérito estava sempre disponível. Novas contas podiam aceder imediatamente ao inquérito de qualificação. Não era preciso fazer uma compra primeiro ou esperar por um convite.
Era como se tivessem construído uma pinhata de pontos e dado a todos um taco de basebol.
O Saque
Uma empresa multimilionária, e o seu programa de fidelidade podia ser esvaziado por qualquer pessoa com conhecimentos básicos de programação e uma tarde livre.
Porque Isto Importa (Para Além de Hambúrgueres Grátis)
Isto não foi um hack sofisticado. Não houve injeção SQL, nem buffer overflow, nem exploit zero-day. Foi apenas... uma verificação em falta. Uma instrução if que deveria ter existido mas não existia.
E essa é na verdade a parte assustadora. A maioria das vulnerabilidades de segurança não são inteligentes. São óbvias em retrospetiva. Alguém simplesmente se esqueceu de verificar que A correspondia a B.
Se está a construir qualquer tipo de sistema de recompensas, aqui está o que deve aprender com o erro do Burger King:
Sempre valide a propriedade. Se uma ação envolve dois identificadores (como um ID de conta e um ID de fidelidade), verifique que pertencem à mesma pessoa. Todas. As. Malditas. Vezes.
Limite a criação de contas. Humanos normais não criam 100 contas por hora. Se alguém está a fazer isso, é um sinal de alerta.
Exija verificação real. A confirmação por SMS não é perfeita, mas é muito melhor do que aceitar qualquer email que exista.
Adicione atrasos às recompensas. Se os pontos demorassem 24-48 horas a ser creditados, haveria tempo para detetar padrões e parar o abuso antes que saísse de controlo.
Monitorize anomalias. Um loyaltyID a receber pontos de dezenas de inquéritos de contas diferentes? Isso deveria acionar um alerta em algum lugar.
A Correção
Eventualmente, o Burger King descobriu. Não sei se alguém reportou ou se finalmente notaram a atividade suspeita, mas a festa chegou ao fim.
Agora o sistema realmente verifica que o seu convite para o inquérito corresponde à sua conta de fidelidade. Conceito revolucionário, eu sei.
As contas que criei provavelmente estão todas banidas. Os pontos foram-se. Os Whoppers foram digeridos.
Mas as memórias? Essas são para sempre.
Pensamentos Finais
Isto foi ético? Discutível. Foi ilegal? Provavelmente em algum sentido técnico. Foi delicioso? Absolutamente.
Partilho esta história não como um guia (novamente, está corrigido), mas como um lembrete de que mesmo grandes empresas cometem erros estúpidos. Segurança não é sobre construir fortalezas impenetráveis - é sobre não deixar a porta traseira escancarada com um cartaz que diz "COROAS GRÁTIS, SIRVA-SE."
À equipa de segurança do Burger King: desculpem por todos aqueles Whoppers. Estavam muito bons, no entanto.
E para qualquer pessoa a construir um programa de fidelidade: por favor, pelo amor de tudo o que é grelhado na chama, validem os vossos parâmetros.
🍔👑
Esta vulnerabilidade foi corrigida. Este post é apenas para fins educacionais e de entretenimento. Se tentar replicar isto, será apenas banido e ficará com fome.