Sinds de lente van 2026 ontdekken tientallen klanten van McDonald’s Frankrijk dat hun McDo+ loyaliteitspunten door onbekenden zijn gebruikt om gratis bestellingen te plaatsen. Het fenomeen, gedocumenteerd door verschillende gespecialiseerde media in cybersicherheit en massaal gedeeld op sociale netwerken, is geen spectaculaire hack van de McDonald’s database. Het mechanisme is zowel banaler als moeilijker te stoppen.
Credential stuffing: de techniek achter de diefstal van McDo-accounts
De loyaliteitsaccounts van McDonald’s zijn niet door een specifieke kwetsbaarheid van de keten gehackt. Volgens analyses die door ZATAZ in mei 2026 zijn gedeeld, maken aanvallers gebruik van identiteitsdatabases uit oude lekken, afkomstig van andere online diensten. Deze e-mail/wachtwoord combinaties, die al jaren zijn verzameld, worden automatisch en massaal getest op McDo+ accounts.
Aanvullende lectuur : De essentiële stappen om uw woning te verkrijgen: van toewijzing tot melding
Deze methode heeft een naam: credential stuffing. Een geautomatiseerd script probeert duizenden combinaties per minuut op de inlogpagina van McDonald’s. Elke keer dat een klant hetzelfde wachtwoord op meerdere sites hergebruikt, wordt zijn account kwetsbaar, zelfs als McDonald’s niet direct is gecompromitteerd.
De getuigenis van een Reddit-gebruiker illustreert goed de verwarring die dit genereert: uniek wachtwoord, willekeurig gegenereerd, en toch een leeg account. Verschillende hypothesen circuleren (malware op de telefoon, gestolen sessie, onderschepte authenticatietoken), maar in de meeste gedocumenteerde gevallen blijft de hergebruik van wachtwoorden de belangrijkste oorzaak. De ervaringen op de grond verschillen hierover, omdat sommige gebruikers beweren unieke wachtwoorden te hebben zonder dat de compromittering formeel kan worden verklaard.
Verder lezen : Ontdek de schoonheid en diversiteit van bloemen om uw tuin te verfraaien
Een gedetailleerd artikel gaat in op de diefstal van McDo loyaliteitspunten en de technieken die door aanvallers worden gebruikt om de programma’s van fastfoodrestaurants te targeten.
Waarom loyaliteitspunten cybercriminelen interesseren
Punten van McDo stelen kan onbenullig lijken vergeleken met het hacken van een bankrekening. De werkelijkheid is anders. ZATAZ merkt sinds 2024 een toename van aanvallen die specifiek gericht zijn op puntensystemen, in alle sectoren: fastfood, luchtvaartmaatschappijen, hotelwezen, grootwinkelbedrijven.
Verschillende redenen verklaren deze toenemende interesse:
- Loyaliteitsaccounts zijn zelden beschermd door tweefactorauthenticatie, in tegenstelling tot bankrekeningen of messagingdiensten.
- Slachtoffers merken vaak wekenlang niet dat hun punten verdwenen zijn, wat de fraudeurs de tijd geeft om te handelen.
- Bepaalde criminele groepen specialiseren zich nu in het stelen van punten in plaats van in klassieke bankkaarten, omdat het waargenomen juridische risico lager is voor een ogenschijnlijk kleine buit.
De omslag is duidelijk: loyaliteitspunten zijn een parallelle munteenheid geworden met een reële waarde op de ondergrondse markten.
Doorverkoop op Telegram: de monetisatieketen van gestolen accounts
Eenmaal gecompromitteerde McDo+ accounts worden niet simpelweg door de hacker gebruikt om een menu te kopen. ZATAZ documenteert het bestaan van Telegram-bots en gesloten marktplaatsen waar puntaccounts voor een spotprijs worden doorverkocht. De eindkoper plaatst een bestelling (vaak met levering) op kosten van de rechtmatige eigenaar van het account.
Deze logistiek is allesbehalve ambachtelijk. Dezelfde circuits werden al gebruikt om gestolen Netflix- of Spotify-toegang te verkopen. De infrastructuur is geoptimaliseerd: catalogus van accounts gesorteerd op puntensaldo, betaling in cryptocurrency, bijna onmiddellijke levering van het account aan de frauduleuze klant.
Het probleem voor McDonald’s (en voor andere getroffen ketens) is dat deze parallelle economie elk loyaliteitsaccount monetiseerbaar maakt, zelfs die met een bescheiden saldo. Het volume compenseert de lage eenheidswaarde.
Reactie van McDonald’s Frankrijk en beperkingen van de huidige maatregelen
McDonald’s Frankrijk heeft gereageerd door zijn klanten een bericht te sturen waarin het de vernieuwing van hun loyaliteits-ID en de deactivatie van hun McDo+ kaart in Apple Wallet en Android Wallet aankondigt. De keten heeft aangegeven “alles in het werk te stellen om de bescherming van gegevens en de veiligheid van het McDo+ account te waarborgen.”
In de praktijk dwingt deze reset gebruikers om een nieuwe virtuele kaart te genereren. Zoals een gebruiker op TikTok opmerkte, een account opnieuw aanmaken is niet voldoende: men moet een nieuw kaartnummer aanvragen met overdracht van de resterende punten, anders kan het probleem zich opnieuw voordoen met dezelfde gecompromitteerde ID.
De beschikbare gegevens maken het niet mogelijk om conclusies te trekken over de exacte omvang van de lek. McDonald’s heeft geen specifiek cijfer gecommuniceerd over het aantal getroffen accounts. De toenemende getuigenissen op Reddit, TikTok en gespecialiseerde fora suggereren echter dat het fenomeen verder gaat dan een geïsoleerd incident.
Bescherming van je loyaliteitsaccount: wat echt werkt
De bescherming van een McDo+ account berust op enkele eenvoudige maar zelden toegepaste principes:
- Gebruik een uniek wachtwoord voor elke dienst, gegenereerd door een speciale wachtwoordbeheerder (niet alleen die van de browser).
- Controleer regelmatig de bestelgeschiedenis en het puntensaldo, om verdachte activiteiten op te merken voordat het account volledig is geleegd.
- Activeer tweefactorauthenticatie als de app dit aanbiedt (wat tot nu toe beperkt blijft op de McDonald’s Frankrijk-app).
- Controleer of je e-mailadres voorkomt in bekende lekken, via diensten zoals Have I Been Pwned.
Verander je wachtwoord na elke bekende lek van een andere dienst is de meest effectieve maatregel tegen credential stuffing, omdat het precies de hergebruik is die deze aanvallen voedt. De diefstal van McDo-punten is slechts een symptoom van een groter probleem: het beheer van digitale identiteiten blijft de zwakke schakel in de beveiliging voor de meeste gebruikers.