Met relatief simpele handelingen is het een promovendus aan de TU Delft gelukt om valse stemmen uit te brengen in de lopende lijsttrekkersverkiezing van het CDA. Door cijfers te wijzigen in stemcodes wist ethisch hacker Jordy San Jose Sanchez ten minste drie valse stemmen uit te brengen. Hij lichtte het CDA en vervolgens de NOS in, dat erover publiceerde. De lopende verkiezing is gestaakt en wordt vanaf morgen volledig over gedaan.
Op de website van de NOS is te lezen dat het CDA niet kan garanderen dat de verkiezing eerlijk is verlopen. Kwaadwillenden konden namelijk geautomatiseerd valse stemmen uitbrengen. Jordy San Jose Sanchez wijzigde handmatig de stemcodes, door een scriptje te laten draaien dat continu willekeurige cijfers zou invoeren, zouden alle stemmen kunnen worden vervalst. Dit was vooral te wijten aan de lage hoeveelheid mogelijke combinaties. Volgens San Jose Sanchez was met één computer alle stemmen te vervalsen in dertig uur tijd.
Extra securitymaatregel
Jordy San Jose Sanchez meldde de kwetsbaarheid bij het CDA en liet vervolgens zijn bevindingen toetsen door beveiligingsonderzoekers Tom Wolters en Benjamin Broersma. Zij bevestigden het potentiële gevaar. Hierop besloot het CDA de verkiezing offline te halen. CDA-leden kunnen opnieuw stemmen vanaf donderdag 9 juli 09.00 uur tot en met zaterdag 11 juli 09.00 uur. Zij kunnen kiezen uit Hugo de Jonge, minister van Volksgezondheid, Mona Keijzer, staatssecretaris van Economische Zaken, en Pieter Omtzigt, lid van de Tweede Kamer.
Overigens wordt in de nieuwe stemronde opnieuw gebruik gemaakt van dezelfde codes van zeven cijfers. Als extra securitymaatregel moeten leden bij het stemmen hun postcode opgeven. Om de veiligheid te waarborgen in securityspecialist Fox-IT in de arm genomen.
Diep inademen. En dan …. ZUCHT!
En die mensen moeten ons dan regeren?
@JosVisser Het is toch niet de schuld van Hugo de Jonge of Mona Keizer? Zoals ze bij het CDA zeggen: wie zonder zonde is werpe de eerste steen.
Wat ik uit het verhaal niet op kan maken is of het een stemmodule is die ze zelf gemaakt hebben, of een product/dienst is die ze ingekocht hebben
In dat laatste geval is immers niet de stemmodule van het CDA gekraakt, maar een stemmodule welke door het CDA gebruikt wordt. Werpt net een iets ander licht op de zaak
Je postcode opgeven bij een stemming betekent dat er geen sprake meer is van anonimiteit.
Stemmen…….
Zoooooo 20e eeuw
🙂
@ PA VA KE:
Inderdaad, werpt een iets ander licht op de zaak, maar het blijft op z’n zachtst gezegd vrij zwak dat niemand hier bij de selectie (of definitie) van de software aan gedacht heeft.
Je zou toch verwachten dat bij selectie of ontwerp van zulke software iemand met enige beveiligingskennis betrokken zou zijn. Als je die kennis moet inhuren (Fox-IT) dan stel ik voor het ministerie van veiligheid niet bij CDA te beleggen.
@Louis Kossen Ik verwacht van een politieke partij die ambities heeft om het regeringspluche te betreden inzicht in de problemen die de maatschappij teisteren, en veiligheid, anonimiteit, en privacy op het Internet horen daar bij. Waarom zou ik als stemmer mijn stem geven aan een partij die nog niet eens een simpele ledenraadpleging over het Internet kan organiseren? Het is dan wel geen halszaak, maar wel een blamage.