"Simpel gezegd: het is verwaarloosd", zegt securityconsultant Stan Pluymen. Hij vertelt Webwereld dat hij de fout in juli 2008 heeft ontdekt en in augustus uitgebreid heeft besproken met Just-Eat.nl. "Ik heb het gemeld, ook telefonisch aan Laurens (Groenendijk, directeur van Just-Eat - red.). Ik heb het hem gedemonstreerd en ook een rapport bij ze ingediend."

'Klopt'

Directeur Groenendijk nu tegen Webwereld: "Klopt." Hij bevestigt het toenmalige contact met Pluymen. "Ik heb het toen naar onze developers doorgestuurd en toen is het naar ons weten opgelost. Totdat we zo'n anderhalve maand geleden ontdekten dat het gat niet is gedicht."

Pluymen pareert dat er niets is teruggekoppeld. "Ze hebben het niet gecontroleerd, en ze hebben mij ook niet gevraagd om het te controleren." Hij heeft toen zelf gekeken en geconstateerd dat het probleem er nog was. Maar hij had het al gemeld en ging er vanuit dat het dan eigen verantwoordelijkheid is van Just-Eat.nl. Enkele studenten hebben nu hetzelfde lek ontdekt en er misbruik van gemaakt door voor slechts een paar cent eten te bestellen.

Oorzaak onbekend

De ontdekker van het lek is niet verrast. "Het kalf is nu verdronken, maar de put was allang bekend." Voor zover hij kan inschatten, zit de fout waarschijnlijk in de betaalserver. Groenendijk vertelt Webwereld dat het nog onbekend is waar het precies fout gaat. "Ik krijg te horen dat het aan onze payment processor Dibs in Denemarken kan liggen, en ik krijg te horen dat het aan de gratis versie van iDEAL zou liggen. Ik durf niet te zeggen waaraan het ligt."

Het Deense bedrijf dat voor Just-Eat de betalingen verwerkt, heeft een internationaal systeem. Dat is voor Nederland aangesloten op iDEAL, in samenwerking met de organisatie daarachter. Het is ook mogelijk dat de fout schuilt in die koppeling.

'Volgende week'

Groenendijk bezweert dat het gat nu is gedicht. "Je kunt nu nog wel de prijs wijzigen, maar er komt dan geen bestelling meer door." Ondanks dat het nog niet bekend is waar de fout precies zit, zegt hij wel dat het hele probleem aanstaande woensdag is opgelost. Security consultant Pluymen heeft dat vorig jaar ook te horen gekregen: "Volgende week is het gedicht, werd mij gezegd. Daarna heb ik niets meer gehoord. Het kwartje viel kennelijk pas achteraf."

Terugbetalen

De restaurants waar nu voor een paar cent is besteld, hebben daar niets van gemerkt, legt Groenendijk nog uit aan Webwereld. "Die hebben gewoon hun geld gehad." Het financiële gat zit bij de bestelsite. "Wij zitten nu op de blaren. We proberen nu wel regelingen te treffen. Het zijn mensen die denken 'de slimste jongetjes van de klas' te zijn, maar als je betaalt met iDEAL weten we natuurlijk wie je bent."

Volgens Groenendijk reageren de meeste 'misbruikers' tot op heden meevallend: "Oeps, fout, waarheen kunnen we het overmaken?" Daarop krijgen die klanten een nota met overzicht van de betreffende bestellingen, plus administratiekosten en de eis het totaalbedrag binnen 5 werkdagen over te maken. "Sommigen vragen wel even uitstel, bijvoorbeeld tot hun salaris binnen is."

De totale schade bedraagt zo'n 30.000 euro. Groenendijk kan geen gemiddelde geven, maar zegt wel dat er een 'klant' is die in totaal voor 1250 euro heeft besteld. "Maar anderen zitten op twee keer 30 euro." Pluymen benadrukt nog dat hij de bestellingen van zijn demonstratie heeft terugbetaald. "Ik ben een van die enkelingen."