Dal primavera 2026, decine di clienti McDonald’s Francia scoprono che i loro punti fedeltà McDo+ sono stati utilizzati da sconosciuti per effettuare ordini gratuiti. Il fenomeno, documentato da diversi media specializzati in cybersicurezza e ampiamente condiviso sui social network, non è il risultato di un clamoroso hacking del database di McDonald’s. Il meccanismo è sia più banale che più difficile da arginare.
Credential stuffing: la tecnica dietro il furto di account McDo
Gli account fedeltà McDonald’s non sono stati violati da una falla specifica dell’azienda. Secondo le analisi riportate da ZATAZ nel maggio 2026, gli aggressori sfruttano database di credenziali provenienti da vecchie violazioni, provenienti da altri servizi online. Queste coppie email/password, aggregate nel corso degli anni, vengono testate automaticamente e massivamente sugli account McDo+.
Lettura complementare : I passaggi semplici per calcolare la cilindrata di un motore automobilistico
Questa metodologia ha un nome: il credential stuffing. Uno script automatizzato prova migliaia di combinazioni al minuto sulla pagina di accesso di McDonald’s. Ogni volta che un cliente riutilizza la stessa password su più siti, il suo account diventa vulnerabile, anche se McDonald’s non è stato direttamente compromesso.
La testimonianza di un utente di Reddit illustra bene la confusione che ciò genera: password unica, generata casualmente, eppure account svuotato. Circolano diverse ipotesi (malware sul telefono, sessione rubata, token di autenticazione intercettato), ma nella maggior parte dei casi documentati, il riutilizzo delle password rimane la causa principale. I feedback sul campo divergono su questo punto, poiché alcuni utenti affermano di avere password uniche senza che la compromissione possa essere formalmente spiegata.
Lettura complementare : Come identificare gli animali dal loro verso?
Un articolo dettagliato torna sul furto di punti fedeltà McDo e le tecniche impiegate dagli aggressori per colpire i programmi di ristorazione veloce.
Perché i punti fedeltà interessano i cybercriminali
Rubare punti McDo può sembrare ridicolo rispetto all’hacking di un conto bancario. La realtà è diversa. ZATAZ nota dal 2024 un aumento degli attacchi che mirano specificamente ai programmi a punti, in tutti i settori: ristorazione veloce, compagnie aeree, ospitalità, grande distribuzione.
Ci sono diverse ragioni che spiegano questo crescente interesse:
- Gli account fedeltà sono raramente protetti da un’autenticazione a due fattori, a differenza dei conti bancari o delle messaggerie.
- Le vittime impiegano spesso settimane per accorgersi della scomparsa dei loro punti, il che lascia tempo ai truffatori per agire.
- Alcuni gruppi criminali si specializzano ora nel furto di punti piuttosto che nelle carte bancarie tradizionali, poiché il rischio legale percepito è più basso per un bottino apparentemente minore.
Il cambiamento è netto: i punti fedeltà sono diventati una moneta parallela con un valore reale sui mercati sotterranei.
Rivendita su Telegram: la filiera di monetizzazione degli account rubati
Una volta compromessi gli account McDo+, i punti non vengono semplicemente utilizzati dal pirata per pagarsi un menu. ZATAZ documenta l’esistenza di bot Telegram e mercati chiusi dove gli account a punti vengono rivenduti a prezzi stracciati. L’acquirente finale effettua un ordine (spesso in consegna) a spese del legittimo titolare dell’account.
Questa logistica non ha nulla di artigianale. Gli stessi circuiti venivano già utilizzati per rivendere accessi rubati a Netflix o Spotify. L’infrastruttura è collaudata: catalogo di account classificati per saldo punti, pagamento in criptovaluta, consegna quasi istantanea dell’account al cliente fraudolento.
Il problema per McDonald’s (e per le altre aziende colpite) è che questa economia parallela rende ogni account fedeltà monetizzabile, anche quelli con un saldo modesto. Il volume compensa il basso valore unitario.
Risposta di McDonald’s Francia e limiti delle misure attuali
McDonald’s Francia ha reagito inviando ai suoi clienti un messaggio che annuncia il rinnovo del loro identificativo fedeltà e la disattivazione della loro carta McDo+ in Apple Wallet e Android Wallet. L’azienda ha dichiarato di mettere “tutto in atto per garantire la protezione dei dati e la sicurezza dell’account McDo+”.
In pratica, questa reimpostazione costringe gli utenti a generare una nuova carta virtuale. Come segnalato da un utente su TikTok, rifare un account non basta: è necessario richiedere un nuovo numero di carta con trasferimento dei punti rimanenti, altrimenti il problema può ripresentarsi con lo stesso identificativo compromesso.
I dati disponibili non consentono di concludere sull’ampiezza esatta della violazione. McDonald’s non ha comunicato un numero preciso sugli account interessati. Tuttavia, la moltiplicazione delle testimonianze su Reddit, TikTok e forum specializzati suggerisce che il fenomeno supera l’incidente isolato.
Proteggere il proprio account fedeltà: ciò che funziona realmente
La protezione di un account McDo+ si basa su alcuni principi semplici ma raramente applicati:
- Utilizzare una password unica per ogni servizio, generata da un gestore di password dedicato (non solo quello del browser).
- Controllare regolarmente la cronologia degli ordini e il saldo punti, per individuare eventuali attività sospette prima che l’account venga completamente svuotato.
- Attivare l’autenticazione a due fattori se l’applicazione lo offre (cosa che, ad oggi, rimane limitata sull’app McDonald’s Francia).
- Controllare se il proprio indirizzo email figura in violazioni note, tramite servizi come Have I Been Pwned.
Cambiare password dopo ogni violazione nota di un altro servizio è il gesto più efficace contro il credential stuffing, poiché è proprio il riutilizzo a alimentare questi attacchi. Il furto di punti McDo non è che un sintomo di un problema più ampio: la gestione delle credenziali digitali rimane il punto debole della sicurezza per la maggior parte degli utenti.