Glitch al self-service McDonald’s: come ha permesso sconti del 50% e cosa imparare

Cosa è successo

Un cliente, Max Jalal, ha pubblicato un video su Facebook che mostrava come lui e i suoi amici abbiano acquistato una Dinner Box familiare — normalmente AUD 19,95 / €17,50 — per appena AUD 9,95 / €8,80 usando solo il chiosco self-service. Il filmato è stato registrato in un punto vendita di Melbourne, Australia, e ha ottenuto oltre 1,5 milioni di visualizzazioni.

Secondo il video, Jalal seleziona la Dinner Box da AUD 20 e poi sceglie una combinazione dall’elenco bevande (opzione indicata come “L e P” nel filmato). Dopo ogni aggiunta di quella voce non visibile (senza immagine né prezzo), il totale si riduceva: da AUD 19,95 a AUD 17,20 e così via, ripetendo l’azione quattro volte fino a ottenere circa la metà del prezzo originale. Il problema è stato segnalato pubblicamente e McDonald’s Australia ha poi risolto il difetto nella macchina interessata.

Citazione aziendale: un portavoce di McDonald’s ha commentato che si trattava di un nuovo sistema informatico e che “a volte possono verificarsi glitch”. Ha inoltre espresso fiducia nel fatto che non ci fossero altri difetti simili nel sistema.

Come funzionava il glitch (spiegazione tecnica semplificata)

• Il chiosco presentava voci di menu con immagini e prezzi normali.
• Esisteva però una voce «nascosta» o mal mappata nel menu bevande, priva di immagine e prezzo visibile.
• L’aggiunta di quella voce attivava una logica di calcolo del totale difettosa. Invece di sommare, variava il totale verso il basso.
• Ripetendo l’azione, l’errore si cumulava fino a ridurre il prezzo finale di circa il 50%.

In parole semplici: un elemento di interfaccia male gestito ha scatenato un comportamento anomalo della logica di prezzo.

Quando questo tipo di glitch non funziona

• Su sistemi che validano i totali server-side prima del pagamento. Se il server ricalcola il prezzo, il client non può alterarlo.
• Se l’articolo nascosto ha un prezzo esplicito o è bloccato dietro logiche di inventario.
• In catene con monitoraggio delle transazioni in tempo reale che rilevano disallineamenti tra prezzo visualizzato e prezzo fatturato.

Aspetti legali ed etici (breve)

• Sfruttare un difetto intenzionalmente per ottenere un bene a prezzo inferiore può avere implicazioni legali o disciplinari a seconda della giurisdizione e delle policy aziendali.
• Segnalare il problema al personale o alla catena è la scelta etica consigliata.

Mini-metodologia per testare in sicurezza chioschi self-service (per personale IT e store manager)

1. Riprodurre l’errore su ambienti di test con dati non sensibili.
2. Verificare la coerenza prezzo client ↔ server per tutte le voci di menu.
3. Eseguire test di regressione su varianze di menu (sconti, bundle, opzioni nascoste).
4. Abilitare logging esteso per le transazioni anomale.
5. Implementare limiti di soglia per variazioni di prezzo improvvise.

Checklist rapida per ruoli (azione consigliata)

• Cliente:
  • Non sfruttare il bug intenzionalmente.
  • Segnala l’anomalia al personale.
• Store manager:
  • Disconnetti il chiosco se il comportamento è sospetto.
  • Raccogli screenshot/video e orari per il supporto tecnico.
  • Avvisa il supporto IT centrale.
• Sviluppatore / QA:
  • Rivedi la logica di calcolo dei bundle e le API di pricing.
  • Aggiungi test automatizzati per voci non visualizzate.
  • Controlla la sincronizzazione prezzi client-server.

Modelli mentali e buone pratiche per evitare exploit

• Principio della doppia validazione: qualsiasi prezzo calcolato lato client deve essere ricalcolato e confermato lato server.
• Non fidarsi di input invisibili: tutte le voci del menu devono avere attributi espliciti (prezzo, ID, immagine opzionale) e validazione sui valori.
• Logging proattivo: tracciare pattern insoliti (es. variazioni di prezzo crescente o decrescente per la stessa sessione).

Matrice di rischio e mitigazioni (qualitativa)

• Rischio: perdita economica locale — Mitigazione: blocco chiosco, ricalcolo server-side.
• Rischio: immagine e PR — Mitigazione: comunicazione trasparente, correzione rapida.
• Rischio: abuso sistemico — Mitigazione: monitoraggio transazioni e limiti anomalia.

Controesempi e alternative

• Alternative: molti fast-food adottano pagamenti centralizzati o verifiche con casse che riducono il rischio.
• Controesempio: sistemi dove il prezzo è sempre ricalcolato dal server non consentono questo exploit.

Nota importante

Importante: se sei cliente e trovi un’anomalia, la scelta più sicura e corretta è segnalarla. Sfruttare intenzionalmente un errore può avere conseguenze.

Glossario (1 linea ciascuno)

• Chiosco self-service: terminale touch-screen che consente ai clienti di ordinare e pagare senza operatore.
• Glitch: malfunzionamento temporaneo o anomalia software.
• Bundle/Dinner Box: offerta combinata che include più prodotti a prezzo promozionale.

Sintesi finale

Il video di Max Jalal ha evidenziato una vulnerabilità di interfaccia in un chiosco McDonald’s che permetteva di ridurre il prezzo totale ripetendo una selezione. McDonald’s ha risolto il problema dopo la segnalazione pubblica. Le aziende devono applicare controlli server-side, test di regressione e monitoraggio per prevenire exploit simili. I clienti dovrebbero segnalare anomalie anziché approfittarne.

Social preview (suggerimento): Glitch al chiosco McDonald’s mostra come un errore software abbia tagliato del 50% il prezzo di un pasto. La catena ha corretto il problema; ecco cosa fare e come prevenirlo.

Fine dell’articolo.