Seit dem Frühjahr 2026 entdecken Dutzende von McDonald’s-Kunden in Frankreich, dass ihre McDo+-Treuepunkte von Unbekannten verwendet wurden, um kostenlose Bestellungen aufzugeben. Das Phänomen, das von mehreren Medien, die sich auf Cybersicherheit spezialisiert haben, dokumentiert und massiv in sozialen Netzwerken verbreitet wurde, ist kein spektakulärer Hack der McDonald’s-Datenbank. Der Mechanismus ist sowohl banaler als auch schwieriger einzudämmen.
Credential Stuffing: die Technik hinter dem Diebstahl von McDo-Konten
Die McDonald’s-Treuekonten wurden nicht durch eine spezifische Schwachstelle der Marke gehackt. Laut den Analysen, die im Mai 2026 von ZATAZ veröffentlicht wurden, nutzen die Angreifer Identitätsdaten aus alten Leaks, die von anderen Online-Diensten stammen. Diese E-Mail/Passwort-Paare, die seit Jahren aggregiert werden, werden automatisch und massenhaft auf den McDo+-Konten getestet.
Auch interessant : Warum Pferdemist von Lidl wählen, um den Garten natürlich zu bereichern?
Diese Methode hat einen Namen: Credential Stuffing. Ein automatisiertes Skript versucht pro Minute Tausende von Kombinationen auf der McDonald’s-Anmeldeseite. Jedes Mal, wenn ein Kunde dasselbe Passwort auf mehreren Websites wiederverwendet, wird sein Konto anfällig, selbst wenn McDonald’s nicht direkt kompromittiert wurde.
Das Zeugnis eines Reddit-Nutzers veranschaulicht gut die Verwirrung, die dies erzeugt: einzigartiges, zufällig generiertes Passwort und dennoch ein geleertes Konto. Es kursieren mehrere Hypothesen (Malware auf dem Telefon, gestohlene Sitzung, abgefangenes Authentifizierungstoken), aber in den meisten dokumentierten Fällen bleibt die Wiederverwendung von Passwörtern die Hauptursache. Die Rückmeldungen aus der Praxis gehen diesbezüglich auseinander, da einige Nutzer behaupten, einzigartige Passwörter zu haben, ohne dass die Kompromittierung formell erklärt werden kann.
Ergänzende Lektüre : USDA Choice Rindfleisch: Wie man Bio von Nicht-Bio unterscheidet?
Ein detaillierter Artikel behandelt den Diebstahl von McDo-Treuepunkten und die Techniken, die von den Angreifern verwendet werden, um die Programme der Schnellrestaurants ins Visier zu nehmen.
Warum Treuepunkte für Cyberkriminelle interessant sind
Treuepunkte von McDo zu stehlen, mag im Vergleich zum Hacken eines Bankkontos trivial erscheinen. Die Realität ist jedoch anders. ZATAZ verzeichnet seit 2024 einen Anstieg der Angriffe, die speziell auf Punktesysteme abzielen, unabhängig von der Branche: Schnellrestaurants, Fluggesellschaften, Hotellerie, Einzelhandel.
Mehrere Gründe erklären dieses wachsende Interesse:
- Treuekonten sind selten durch eine Zwei-Faktor-Authentifizierung geschützt, im Gegensatz zu Bankkonten oder Messaging-Diensten.
- Die Opfer benötigen oft Wochen, um den Verlust ihrer Punkte zu bemerken, was den Betrügern Zeit gibt, zu handeln.
- Einige kriminelle Gruppen haben sich mittlerweile auf den Diebstahl von Punkten spezialisiert, anstatt auf klassische Bankkarten, da das wahrgenommene rechtliche Risiko für eine scheinbar geringfügige Beute geringer ist.
Der Wandel ist deutlich: Treuepunkte sind zu einer Parallelwährung mit echtem Wert auf dem Schwarzmarkt geworden.
Wiederverkauf auf Telegram: die Monetarisierungskette gestohlener Konten
Sobald die McDo+-Konten kompromittiert sind, werden die Punkte nicht einfach vom Hacker verwendet, um sich ein Menü zu kaufen. ZATAZ dokumentiert die Existenz von Telegram-Bots und geschlossenen Marktplätzen, auf denen die Punktkonten zu Schleuderpreisen weiterverkauft werden. Der Endkäufer gibt eine Bestellung auf (oft zur Lieferung) auf Kosten des rechtmäßigen Kontoinhabers.
Diese Logistik ist alles andere als handwerklich. Dieselben Kanäle wurden bereits verwendet, um gestohlene Netflix- oder Spotify-Zugänge weiterzuverkaufen. Die Infrastruktur ist ausgereift: Katalog von Konten, sortiert nach Punktestand, Zahlung in Kryptowährung, nahezu sofortige Lieferung des Kontos an den betrügerischen Kunden.
Das Problem für McDonald’s (und für die anderen betroffenen Marken) ist, dass diese Parallelwirtschaft jedes Treuekonto monetarisierbar macht, selbst solche mit einem bescheidenen Guthaben. Das Volumen kompensiert den geringen Einzelwert.
Reaktion von McDonald’s Frankreich und Grenzen der aktuellen Maßnahmen
McDonald’s Frankreich hat reagiert, indem es seinen Kunden eine Nachricht gesendet hat, in der die Erneuerung ihrer Treue-ID und die Deaktivierung ihrer McDo+-Karte in Apple Wallet und Android Wallet angekündigt wurde. Die Marke gab an, “alles zu tun, um den Schutz der Daten und die Sicherheit des McDo+-Kontos zu gewährleisten”.
In der Praxis zwingt diese Zurücksetzung die Nutzer dazu, eine neue virtuelle Karte zu generieren. Wie ein Nutzer auf TikTok anmerkte, reicht es nicht aus, ein neues Konto zu erstellen: Es muss eine neue Kartennummer angefordert werden, mit Übertragung der verbleibenden Punkte, andernfalls kann das Problem auf derselben kompromittierten ID erneut auftreten.
Die verfügbaren Daten erlauben keine Schlussfolgerung über das genaue Ausmaß des Lecks. McDonald’s hat keine genauen Zahlen zur Anzahl der betroffenen Konten veröffentlicht. Im Gegensatz dazu deutet die Vielzahl der Berichte auf Reddit, TikTok und in spezialisierten Foren darauf hin, dass das Phänomen über einen isolierten Vorfall hinausgeht.
Schutz des Treuekontos: Was wirklich funktioniert
Der Schutz eines McDo+-Kontos basiert auf einigen einfachen, aber selten angewandten Prinzipien:
- Ein einzigartiges Passwort für jeden Dienst verwenden, das von einem speziellen Passwortmanager generiert wird (nicht nur dem des Browsers).
- Regelmäßig die Bestellhistorie und den Punktestand überprüfen, um verdächtige Aktivitäten zu erkennen, bevor das Konto vollständig geleert wird.
- Die Zwei-Faktor-Authentifizierung aktivieren, wenn die App dies anbietet (was derzeit auf der McDonald’s Frankreich-App begrenzt ist).
- Überprüfen, ob die eigene E-Mail-Adresse in bekannten Leaks auftaucht, über Dienste wie Have I Been Pwned.
Das Ändern des Passworts nach jedem bekannten Leak eines anderen Dienstes ist die effektivste Maßnahme gegen Credential Stuffing, da genau die Wiederverwendung diese Angriffe antreibt. Der Diebstahl von McDo-Punkten ist nur ein Symptom eines größeren Problems: Das Management digitaler Identitäten bleibt das schwächste Glied in der Sicherheit für die Mehrheit der Nutzer.