Скорее всего сами же и подворовывали потихоньку у своих клиентов. Об уязвимости с двойным выводом было известно давным давно, так что вероятней это просто отмазка для лохов.