"Antwoord: De reacties die ik her en der lees, zijn allemaal in de trant van “dom bedrijf, hadden ze dat lek maar moeten fiksen”. Zeker nu bekend is dat het lek al een jaar open ligt. Maar ligt dat nu aan mij of is dit gewoon crimineel? Als je zo’n fout ontdekt en het dan meldt, dan ben je keurig bezig. Wil je het een keertje testen om zeker te weten dat die fout er (nog) in zit, nou vooruit. Maar voor 30.000 euro aan pizza’s bestellen, dat heeft toch niets meer met white-hat hacken te maken? Dat is gewoon profiteren van een domme fout. "

Klopt op zich geheel. Echter is hier ook de vraag of er niet iets heel anders aan de hand is. Just-Eat heeft berichten hierover gestuurd naar de media, en naar al haar klanten. Tegelijkertijd is er helemaal niet bekend of er daadwerkelijk sprake is van een hack incident. De media heeft ook nog geen van de vermeende hackers kunnen vinden, terwijl de directeur erg laconiek is, en stelt geen aangifte te doen zolang deze studenten contact opnemen en het geld netjes terugbetalen.

Is hier wel sprake van een daadwerkelijk hack incident ? Of heeft Just-Eat een mooi verhaal bedacht, om zo media exposure te krijgen, en alle klanten in het bestand te kunnen benaderen in kader van een 'viral marketing' aktie ? Mocht dat zo zijn, dan werpt dat ook nog wel een ander licht op de reactie dat Just-East 'dom' is geweest ;-)

Ik mis het eenduidige antwoord.. Moeten de studenten (volgens jou) nu wel of niet terug betalen?

Just eat kan tenslotte precies achter halen wie een betaling heeft en dus te weinig heeft betaald.

Ja, die studenten moeten gewoon het bedrag betalen waar de pizza voor werd aangeboden. En als Justitie besluit te vervolgen wegens oplichting hebben ze een goeie kans op een boete.

"Ik mis het eenduidige antwoord.. Moeten de studenten (volgens jou) nu wel of niet terug betalen? "

Het antwoord lijkt mij behoorlijk eenduidig, het is simpelweg oplichting/diefstal. En natuurlijk zal dan de schade vergoed moeten worden.

Als ze nog te achterhalen zijn door de pizzaboer,dan is er een risico dat ze nog het volle pond moeten betalen.
Als de pizza´s aan huis zijn gebracht,dan is het toch makkelijk om de volle kosten de volgende keer te achterhalen?.

Je weet van een bug, en je kiest ervoor deze bug niet te repararen. Je ziet dat er misbruik van wordt gemaakt (dat zie je toch?) en toch besluit je geen actie te ondernemen. Kun je dan maanden later je achterstallige betalingen nog innen?
Zit er niet een termijn van 6 maanden op het sturen van een factuur na een geleverde dienst, anders vervalt de plicht tot betaling?
Natuurlijk is het diefstal en je vergelijking met de prijstang is goed. Maar hier laat de bedrijfsleider de tang gewoon liggen terwijl hij ziet hoe in zijn winkel de prijsjes vrolijk op allerlei artikelen worden geplakt. Elke dag maakt hij de kassa op en ziet de kastekorten. En hij doet maandenlang niets...

Als het inderdaad een viral is van Just-eat, dan is het briljant. Tot vorige week had ik nog nooit van deze dienst gehoord...

"Maar hier laat de bedrijfsleider de tang gewoon liggen terwijl hij ziet hoe in zijn winkel de prijsjes vrolijk op allerlei artikelen worden geplakt. Elke dag maakt hij de kassa op en ziet de kastekorten. En hij doet maandenlang niets..."

Misschien had Just-Eat betere audit procedures kunnen opstellen en dergelijke, waardoor dit misbruik eerder zou zijn opgemerkt. Maar het feit dat het een tijdje duurde voordat dit werd opgemerkt verandert in het geheel niets aan het feit dat deze studenten bewust hebben gefraudeert, strafbaar zijn, en de schade zullen moeten betalen (ervanuitgaande dat het verhaal van Just-Eat klopt, en dat het niet om een viral gaat natuurlijk).

"Je weet van een bug, en je kiest ervoor deze bug niet te repararen. Je ziet dat er misbruik van wordt gemaakt (dat zie je toch?) en toch besluit je geen actie te ondernemen. Kun je dan maanden later je achterstallige betalingen nog innen?"

Ik zou niet weten waarom niet, het is en blijft fraude waarbij de studenten bewust het systeem hebben gemanipuleerd, en dus te kwader trouw bezig waren. Het gaat hier om het misbruiken van een zwakheid in een systeem. Het zou een andere situatie zijn wanneer er sprake zou zijn van een bug waardoor klanten een te lage rekening krijgen, terwijl de klant zelf gewoon te goeder trouw is, en geen handelingen heeft verricht om de prijs te manipuleren.

In mijn optiek is dit hetzelfde als een slijter binnenkomen en met behulp van zelf meegebrachte prijsstickertjes jezelf goedkoop aan een fles of wat single malt helpen. Dus ja, ze moeten betalen, en ze zijn strafbaar.

dit doet me denken aan het MCcornick verhaal.
maar ondertussen (wat hier ook al gepost is worden) worden andere hackers WEL metrust gelaten..

Studentenhuizen kennende, kunnen de huidige inwoners natuurlijk beweren dat zij nooit die pizza's besteld hebben, maar de huisgenoten die inmiddel vertrokken zijn... Danwel de schuld ergens in het midden laten wie besteld heeft...

De vraag is of de rechter in dat geval beslist of hij eventueel een niet onschuldige huisgenoot veroordeeld...

Men manipuleert de prijs om op die manier het product tegen een voordelige prijs in te kopen zonder medeweten van de eigenaar.
(met medeweten valt het onder "prijs onderhandeling" tenzij het onder druk gebeurt dan heet het "afpersing".)

Dit is dus gewoon een gevalletje fraude.

De (eind)prijs is aangepast middels een listige truc.
Dit is op zijn minst diefstal, maar wellicht ook computervredebreuk.

Bedenk goed dat er tussen die vele studenten die zich hieraan schuldig hebben gemaakt, of op zijn minst medeplichtig zijn, een studie Rechten volgen en dus helemaal zouden moeten begrijpen dat dit strafbaar is.
Dus dit soort types nog harder aanpakken dan gemiddeld!

De dief van nu is de Officier van Justitie / Advocaat van morgen.

Bij een verkoop moeten beide partijen overeenstemming hebben over de prijs en de te leveren diensten of goederen. Bij een winkelverkoop bepaalt de verkoper de prijs en een klant kan daar al dan niet mee accoord gaan. De kopers hebben hier een prijs opgekregen van de verkoper. Het was ook zeer duidelijk dat die prijs de verkoopprijs behoorde te zijn. Dat de klant vervolgens het systeem manipuleert en te weinig betaald is die klant volledig aan te rekenen. Dat de verkoper in dat misleiden trapt doordat hij zijn systeem afhankelijk maakt van de invoer van de klant is dom te noemen, maar niet strafbaar. Ergo, het is pure diefstal door de klanten wanneer ze de uiteindelijke nota manipuleren om het systeem ze minder geld te laten betalen.

stel dat ik een winkel inloop en een product wil kopen, bij de kassa stel ik dat ik 1 cent wil betalen, waarna er 1 cent wordt aangeslagen en er vervolgens wordt afgerekend, dan is dat toch een koop overeenkomst, en dus juridisch bindend? hoe is dat dan anders voor een geatomatiseerd systeem?

Je kunt er lang of kort over praten, maar volgens mij volgens mij is er niemand die mogelijkerwijs zelfs maar een moment heeft kunnen denken dat dit in de haak was. Stelen is stelen immers en dat kan iedereen op zijn klompen aanvoelen. Dat de precieze kwalificatie van het handelen dan misschien oplichting moet zijn (of misschien flessetrekkerij als in het geheel geen geld over is gegaan) is voer voor juristen, maar dat doet niets af aan voorstaande, je weet dat het fout is.

Een reactie als "dom bedrijf, etc" is van dezelfde orde als
"had je het keukenraampje maar niet moeten laten openstaan" bij woninginbraak en
"moet je je portemonnaie maar niet in je kontzak dragen in de metro in amsterdam" als je gerold bent.

Misschien had het in al die gevallen inderdaad beter geweest als de getroffen partij zijn voorzorgsmaatregelen had getroffen, maar dat verandert het feit niet dat je gewoon met je vingertjes van andermans spullen hebt af te blijven en gewoon hebt te betalen voor goederen of diensten die je afneemt.

Wat mij betreft zou er inderdaad moeten worden vervolgd (aangifte is niet verplicht om een vervolging te starten, de gegevens kun je vervolgens vorderen bij just-eat, die hebben daar keen keuzevrijheid). Wat mij betreft mag er ook wel een hogere straf op volgen dan een simpele geldboete. We hebben het hier niet over een soort Robin Hoods die een groot onrecht bestrijden, maar over dieven. De tijd dat cybercrime een marge-verschijnsel was ligt al jaren achter ons, maar de serieusheid er van lijkt de maatschappij nog steeds niet voldoende duidelijk te zijn geworden.

Anders dan de laatste poster ben ik niet van mening dat het simpele feit dat je rechten studeert een "garantenstellung" in zou houden die tot gevolg moet hebben dat jou zwaarder dingen worden aangerekend, daarvoor is wel iets meer vereist. Ook de stelling dat deze mensen de officier van morgen zijn is wat kort door de bocht - de overgrote meerderheid studeert niet strafrechtelijk af.

Overigens kan de directeur van Just-eat op evenveel sympathie van mij rekenen als van Arnoud Engelfriet, maar ik eindig nog iets scherper. Ik hoop niet alleen dat zijn rechtsbijstand of welke andere verzekering hiervoor dan ook niet uitkeert; ik verwacht dat ze dat niet doen. Net zo goed als je verzekering niet uitbetaalt als je auto wordt gestolen als je hem met draaiende motor hebt achtergelaten omdat je dat gewoon makkelijker vindt, zou dat hier ook niet moeten gebeuren. Verzekeringsnemer heeft zich in deze dusdanig onzorgvuldig opgesteld dat hij zich niet aan zijn eind van het contract heeft gehouden.

@Anoniem 17:36: het verschil is dat je met de kassajuffrouw kunt onderhandelen en met een geautomatiseerd systeem niet. Ik zie dat laatste eerder als een verkeerd prijsje opplakken, wat wezenlijk iets anders is dan "ach juffrouw kan er niet een euro af want mijn kleingeld is op en de pinpas ligt thuis".

Volgens mij is alleen Just-Eat fout: zij bieden een webapplicatie aan die als input bepaalde parameters verwacht waaronder blijkbaar de prijs. Waar staat geschreven dat men een bestelling alleen plaatsen mag als men alle voorgaande stappen (van de webapplicatie) doorlopen heeft en tussentijds niets aan de output veranderd heeft? Natuurlijk zijn de meeste gebruikers niet in staat om op de bestelpagina te komen zonder alle stappen te doorlopen, maar dat maakt het nog niet illegaal dit niet te doen.

Waarschijnlijk denkt men met deze fraude weg te kunnen komen omdat men een systeem "belazert" en niet direct een persoon.
Maar hoe je het ook wendt of keert, het blijft pure diefstal. Ik hoop dan ook dat ze achterhalen wie het allemaal geweest zijn en deze personen (of groepen) gewoon nog een leuke rekening sturen.

Even het andere scenario: een viral...
Als het een viral is, betekent het dat dit bedrijf bewust mensen zwart maakt. Ik weet niet of dat in dit geval individuen betreft, of alleen een groep (studenten van een bepaalde opleiding, o.i.d.). In hoeverre zou dit bedrijf succesvol voor smaad kunnen worden aangeklaagd?

Vind je? En wat nou als het een per ongeluk expres fout is om zo klanten te lokken? Dan is het uitlokking en is het bedrijf volledig verantwoordelijk. Dit soort dingen is wel vaker geprobeerd. Denk maar aan die per ongeluk veel te lage prijs voor een tv of zo. Veel publiciteit en de klant mag er voor opdraaien? Dacht het niet.

Ik geloof er niets van dat dit "per ongeluk expres" is gebeurd of dat men studenten heeft aangezet tot het plegen van dit misdrijf. Daar is de truc te obscuur voor. Bij OTTO heb ik zo mijn twijfels, maar hier niet.

Helaas voor de voorlaatste reactie: uitlokking in de strafrechtelijke zin is niet hetzelfde als uitlokking in de volksmond.
Het is een lastige deelnemingsvorm om te bewijzen.

In min of meer normale mensentaal:

De uitlokker moet door zijn actie de uiteindelijke pleger ->opzettelijk<- ertoe hebben aangezet om het feit te plegen. Dat betekent dat de pleger niet al voor hij werd "uitgelokt" het plan tot het plegen van het strafbare feit moet hebben gehad. De uitlokker moet hem op dat idee hebben gebracht. Beide moet worden bewezen.

Dan moet nog gebruik zijn gemaakt van een van de specifiek genoemde uitlokkingsmiddelen. Ook dat pakt in de praktijk best vaak lastig uit.

Het feit blijft hoe dan ook staan dat je best weet dat een pizza niet 1 cent kost, zeker niet als je zelf met trucjes de prijs gaat zitten aanpassen. Zelfs als je zou kunnen bewijzen dat het bedrijf (/een persoon daar) een uitlokker is, is het bedrijf niet "volledig verantwoordelijk". Beiden zijn in dat geval strafbaar.

Wel grappig overigens dat dan de uitlokker een misdrijf zou hebben uitgelokt tegen zichzelf, dat zie je dan ook weer niet zo vaak.