Wie Ich Unbegrenzte Burger King Punkte Bekam
Die Geschichte, wie Burger King Spanien mir versehentlich ermöglichte, unbegrenzt Punkte auf mein persönliches Konto zu senden, nur weil sie vergessen hatten, eine Kleinigkeit zu überprüfen.
Kennst du dieses befriedigende Gefühl, wenn du einen Gutscheincode findest, der tatsächlich funktioniert? Jetzt multipliziere das mit tausend. Das ist im Grunde das, was passiert ist, als ich auf einen der dümmsten Bugs gestoßen bin, die ich je in einem Treueprogramm gesehen habe.
Dies ist die Geschichte, wie Burger King Spanien mir versehentlich ermöglichte, unbegrenzt Punkte auf mein persönliches Konto zu senden, nur weil sie vergessen hatten, eine Kleinigkeit zu überprüfen.
Keine Sorge, es ist jetzt gepatcht. Das ist nur eine lustige Geschichte über das, was war.
Es Begann Mit Einer Umfrage
Burger King Spanien betreibt dieses Treueprogramm, bei dem du "Coronas" (Kronen) sammelst und sie gegen kostenloses Essen eintauschst. Ziemlich Standard. Eine der Möglichkeiten, Punkte zu verdienen, war das Ausfüllen einer einfachen Umfrage - du weißt schon, die üblichen "Was sind deine Hobbys?"-Fragen. Beantworte ein paar Dinge darüber, ob du Netflix oder Disney+ bevorzugst, Formel 1 oder MotoGP, und boom - 1.500 kostenlose Punkte auf deinem Konto.
Cool, oder? Kostenlose Punkte nur fürs Klicken auf ein paar Buttons.
Aber hier ist die Sache. Du konntest diese Umfrage nur einmal pro Konto ausfüllen. Ein Konto, eine Umfrage, 1.500 Punkte. Das war's. Fair genug.
Oder so dachte ich.
Die URL, Die Alles Veränderte
Wenn du eingeladen wurdest, die Umfrage auszufüllen, schickte dich Burger King zu einer URL, die ungefähr so aussah:
https://cloud.info.burgerkingencasa.es/cualificacion-app?sk=XXXXX&loyaltyID=YYYYY
Zwei Parameter fielen mir ins Auge:
- sk - Das war die Salesforce-ID, im Grunde eine Kennung, die mit dem Konto verknüpft war, das die Umfrageeinladung erhalten hatte
- loyaltyID - Das war DEINE Treuekartennummer, wohin die Punkte überwiesen werden würden
Und da begannen sich die Zahnräder in meinem Kopf zu drehen.
Was wäre wenn... ich den Umfragelink von jemand anderem benutze... aber mit MEINER loyaltyID?
Der Bug: Sie Haben Nie Überprüft, Ob Du Du Bist
Hier ist, was Burger King HÄTTE tun sollen: überprüfen, dass die sk (die Konto-ID) und die loyaltyID (wohin die Punkte gehen) tatsächlich derselben Person gehören.
Hier ist, was Burger King TATSÄCHLICH getan hat: absolut nichts. Sie haben einfach vertraut, was auch immer du ihnen geschickt hast.
Also war der Exploit dumm einfach:
- Erstelle ein brandneues Burger King Konto mit einer gefälschten E-Mail
- Hol dir die Salesforce-ID dieses Kontos (den
sk-Parameter) - Baue eine Umfrage-URL mit der
skdes neuen Kontos ABER mit meiner persönlichen loyaltyID - Fülle die Umfrage aus
- Schau zu, wie 1.500 Punkte magisch auf MEINEM Konto erscheinen
Das neue Fake-Konto? Es bekam nichts. Alle Punkte gingen direkt zu mir.
Und das Beste? Ich konnte das immer wieder machen. Jedes neue Konto, das ich erstellte, war eine frische Umfrage, die Punkte in mein Hauptkonto leiten konnte.
Die Whopper-Maschine Automatisieren
Nun, das manuell zu machen wäre mühsam. Konto erstellen, E-Mail verifizieren, die ID holen, die URL bauen, die Umfrage ausfüllen... das ist viel Klicken für 1.500 Punkte.
Also schrieb ich ein kleines Skript, das es für mich macht.
Der Ablauf war einfach:
Zuerst die Kontofabrik:
- Generiere eine temporäre E-Mail-Adresse mit einem dieser Wegwerf-E-Mail-Dienste
- Rufe Burger Kings Registrierungs-API mit der gefälschten E-Mail und einigen zufälligen Daten auf
- Warte, bis die Bestätigungs-E-Mail ankommt
- Klicke auf den Verifizierungslink
- Logge dich in das neue Konto ein und hole seine Salesforce-ID
- Speichere die Umfrage-URL (mit MEINER loyaltyID angehängt) in einer Datei
Dann der Punkte-Harvester:
- Lies all diese gespeicherten URLs
- Besuche jede einzelne
- Fülle die Umfrage mit zufälligen Antworten aus (ja, ich mag Netflix, ja, ich schaue Formel 1, was auch immer)
- Absenden
- Punkte gehen brrrrr
Jeder Zyklus dauerte vielleicht 30 Sekunden. Jeder Zyklus war 1.500 Punkte wert. Rechne selbst.
Was Das Möglich Gemacht Hat
Rückblickend mussten mehrere Dinge schief gehen, damit das funktionierte:
Keine Verifizierung zwischen Konto und Treue-ID. Das war der große. Das System vertraute blind darauf, dass wenn du einen gültigen Umfragelink hattest, du die Punkte verdientest - egal wohin diese Punkte gingen.
Unbegrenzte Kontoerstellung. Es gab kein CAPTCHA, keine Telefonverifizierung, keine Ratenbegrenzung. Du konntest so viele Konten erstellen wie du wolltest, so schnell wie du wolltest.
Temporäre E-Mails funktionierten einwandfrei. Das System akzeptierte jede E-Mail, die Post empfangen konnte. Diese 10-Minuten-Wegwerfadressen? Vollkommen gültig.
Sofortige Punktegutschrift. Punkte erschienen sofort. Keine Wartezeit, keine menschliche Überprüfung, keine Betrugserkennung die sagt "hey, diese loyaltyID hat gerade Punkte von 47 verschiedenen Umfragen in der letzten Stunde erhalten."
Die Umfrage war immer verfügbar. Neue Konten konnten sofort auf die Qualifizierungsumfrage zugreifen. Kein Kauf vorher nötig oder auf eine Einladung warten.
Es war, als hätten sie eine Punkte-Piñata gebaut und jedem einen Baseballschläger gegeben.
Die Beute
Ein Multi-Milliarden-Dollar-Unternehmen, und ihr Treueprogramm konnte von jedem mit grundlegenden Programmierkenntnissen und einem freien Nachmittag geleert werden.
Warum Das Wichtig Ist (Über Kostenlose Burger Hinaus)
Das war kein ausgeklügelter Hack. Es gab keine SQL-Injection, keinen Buffer-Overflow, keinen Zero-Day-Exploit. Es war nur... eine fehlende Überprüfung. Eine if-Anweisung, die hätte existieren sollen, aber nicht existierte.
Und das ist eigentlich der beängstigende Teil. Die meisten Sicherheitslücken sind nicht clever. Sie sind im Nachhinein offensichtlich. Jemand hat einfach vergessen zu überprüfen, dass A mit B übereinstimmt.
Wenn du irgendein Belohnungssystem baust, hier ist, was du aus Burger Kings Fehler lernen solltest:
Immer den Besitz validieren. Wenn eine Aktion zwei Kennungen beinhaltet (wie eine Konto-ID und eine Treue-ID), überprüfe, dass sie derselben Person gehören. Jedes. Verdammte. Mal.
Begrenze die Kontoerstellungsrate. Normale Menschen erstellen keine 100 Konten pro Stunde. Wenn jemand das tut, ist das ein Warnsignal.
Erfordere echte Verifizierung. SMS-Bestätigung ist nicht perfekt, aber es ist viel besser als jede E-Mail zu akzeptieren, die existiert.
Füge Verzögerungen zu Belohnungen hinzu. Wenn Punkte 24-48 Stunden bräuchten um gutgeschrieben zu werden, gäbe es Zeit, Muster zu erkennen und Missbrauch zu stoppen, bevor er außer Kontrolle gerät.
Überwache Anomalien. Eine loyaltyID, die Punkte von Dutzenden verschiedener Kontoumfragen erhält? Das sollte irgendwo einen Alarm auslösen.
Der Patch
Schließlich hat Burger King es herausgefunden. Ich weiß nicht, ob jemand es gemeldet hat oder ob sie endlich die verdächtige Aktivität bemerkt haben, aber die Party war vorbei.
Jetzt überprüft das System tatsächlich, dass deine Umfrageeinladung mit deinem Treuekonto übereinstimmt. Revolutionäres Konzept, ich weiß.
Die Konten, die ich erstellt habe, sind wahrscheinlich alle gesperrt. Die Punkte sind weg. Die Whopper wurden verdaut.
Aber die Erinnerungen? Die sind für immer.
Abschließende Gedanken
War das ethisch? Diskutabel. War es illegal? Wahrscheinlich in irgendeinem technischen Sinne. War es lecker? Absolut.
Ich teile diese Geschichte nicht als Anleitung (nochmal, es ist gepatcht), sondern als Erinnerung, dass selbst große Unternehmen dumme Fehler machen. Sicherheit geht nicht darum, undurchdringliche Festungen zu bauen - es geht darum, die Hintertür nicht sperrangelweit offen zu lassen mit einem Schild das sagt "KOSTENLOSE KRONEN, BEDIEN DICH."
An Burger Kings Sicherheitsteam: Sorry wegen all der Whopper. Sie waren aber sehr gut.
Und an jeden, der ein Treueprogramm baut: bitte, um der Liebe zu allem Flammen-Gegrillten willen, validiere deine Parameter.
🍔👑
Diese Schwachstelle wurde gepatcht. Dieser Post dient nur Bildungs- und Unterhaltungszwecken. Wenn du versuchst das nachzumachen, wirst du nur gesperrt und hungrig.