_Aplicativos

Hackers famintos usam app do McDonald’s no Canadá para roubar quase R$ 6 mil em lanches

Incidente tem acontecido no Canadá e já afetou inúmeras pessoas, trazendo prejuízo significativo para os usuários do aplicativo My McD's

Justin Sullivan/Getty Images

Não está claro se há um misterioso Papa-Burguer hacker ou vários golpistas, mas, durante meses, usuários do aplicativo canadense do McDonald’s, o “My McD’s”, têm reclamado sobre alguém conseguindo acesso às suas contas para saciar sua fome.

Na semana passada, o jornalista canadense Patrick O’Rourke, editor do site Mobile Syrup, tornou-se a mais recente vítima conhecida desse esquema e publicou um relato de sua experiência. De alguma forma, um hacker ganhou acesso à sua conta no My McD’s, que estava anexada ao seu cartão Mastercard. O aplicativo teve uma falha de transação nas duas primeiras vezes em que O’Rourke tentou usá-lo, e então ele desistiu. Porém, nas duas semanas seguintes, alguém usou a conta para gastar C$ 2.034 (R$ 5.955 em conversão direta) em mais de 100 refeições de Big Macs, McFlurries, Chicken McNuggets e poutine.

Algumas compras aconteceram com poucos minutos de intervalo. O’Rourke especulou em conversa com a CBC que talvez uma pessoa tenha hackeado sua conta e “compartilhado com um grupo de amigos em Montreal, e todos fizeram uma farra gastronômica”.

Contatado pelo Gizmodo, o McDonald’s enviou uma declaração semelhante à que compartilhou com O’Rourke. “Embora estejamos cientes de que alguns incidentes isolados envolvendo compras não autorizadas ocorreram, estamos confiantes na segurança do aplicativo”, diz o comunicado. “Tomamos as medidas adequadas para manter as informações pessoais seguras. O McDonald’s também não armazena informações de cartão de crédito, uma vez que o o aplicativo My McD’s detém apenas um ‘token’ com o provedor de pagamento para permitir compras.”

A declaração também recomenda que os usuários sejam “cuidadosos online, não compartilhando suas senhas com outras pessoas, criando senhas exclusivas e alterando senhas com frequência”.

Como O’Rourke aponta em seu texto, essa declaração do McDonald’s sugere que uma das principais causas das violações são senhas fracas. Porém, como O’Rourke descobriu dezenas de tuítes sobre violações similares do My McD’s, ele suspeita que a empresa esteja atribuindo a culpa às práticas de senhas dos usuários. Ele acha que é provável que uma falha de segurança no aplicativo esteja permitindo que hackers invadam as contas das pessoas.

(“@McDonaldsCanada você me disse para baixar o aplicativo, vai ser ótimo, você disse. Acabei de perder 350 dólares (canadenses) graças a um hacker esfomeado no Quebec que usou meu dinheiro do supermercado e me deixou com $1,48 em minha conta bancária. #NadaLegal #Hackeado #fraude #McDonalds”)

(“@McDonaldsCanada seu aplicativo móvel não é suficientemente seguro, alguém entrou na minha conta, fez 7 transações separadas em um período de 30 minutos, em uma província diferente e não foi sinalizado como suspeito. Ele até mesmo colocou seu próprio nome.”)

(“@McDonaldsCanada então agora que você parou de responder aos meus e-mails eu estou de volta ao Twitter, já que você ainda tem que resolver meu problema de fraude com seu aplicativo idiota. Fico feliz em saber que eu não sou louca agora que outras pessoas estão passando pela mesma merda!”)

Quando O’Rourke reclamou com o serviço de atendimento ao cliente, o funcionário supostamente pediu que ele lesse as dezenas de transações fraudulentas em voz alta por telefone, então lhe disse que o McDonald’s não poderia ajudar e que seu banco era responsável. Seu banco reembolsou o dinheiro, depois de inicialmente ter dito que seu departamento de fraude poderia possivelmente concluir que o McDonald’s é o responsável pelo reembolso de fundos roubados.

Outra vítima que foi supostamente defraudada por meio de violações de seu app My McD’s disse à CBC que o McDonald’s também a informou que a empresa de cartão de crédito era responsável pelo reembolso.

“Acho chocante que uma empresa enorme como o McDonald’s não assuma a responsabilidade por algo assim”, disse O’Rourke à CBC. “Eles têm dinheiro mais do que suficiente para reembolsar as pessoas por esses problemas.”

O McDonald’s disse ao Gizmodo que está “melhorando constantemente o aplicativo My McD’s e o atualizando com melhorias para tornar a experiência do usuário o mais forte e segura possível”. Mas, enquanto isso, uma boa maneira de os canadenses evitarem pagar a larica de um hacker é manter o aplicativo longe do seu telefone.

Sair da versão mobile