Kwetsbaarheid in telsoftware verkiezingen ontdekt door ethische hacker
- Nieuws
- Kwetsbaarheid in telsoftware verkiezingen ontdekt door ethische hacker
Een lek in de stemmentelsoftware die is gebruikt voor verkiezingen in Nederland heeft in potentie het manipuleren van verkiezingsuitslagen mogelijk gemaakt. Er zijn geen aanwijzingen dat dat is gebeurd; een hacker die het lek ontdekte, heeft het gemeld bij de Kiesraad. Inmiddels is het opgelost, meldt die instantie. In Nieuws en Co vertelt techredacteur Joost Schellevis wat er precies gebeurd is.
Video niet beschikbaar
Gemeenten gebruiken de software, Ondersteunende Software Verkiezingen 2020, om de totalen van stembureaus bij elkaar op te tellen, vertelt Schellevis in de uitzending. "Het basisproces, dus het uitbrengen van de stemmen en het tellen is fysiek. Maar aan de achterkant, waar de stemmen bij elkaar moeten worden opgeteld, daar wordt software voor gebruikt, en bij die software zat het probleem."
Door het lek konden kwaadwillenden toegang krijgen tot de infrastructuur van de softwareleverancier die de stemmentelsoftware maakt. Daarmee zou een aangepaste, gemanipuleerde versie van de software kunnen worden verspreid, waarmee uiteindelijk bijvoorbeeld de uitslag van verkiezingen zou kunnen worden aangepast.
Voor zover bekend is dat niet daadwerkelijk gebeurd. Bovendien worden na het tellen van de stemmen steekproeven genomen om te controleren of de tellingen kloppen, waardoor fraude zou moeten worden opgemerkt. Bij de komende Tweede Kamerverkiezingen van 22 november is het lek niet meer aanwezig.
Inloggegevens
De hacker die het probleem vond en meldde, ontdekte dat inloggegevens van de leverancier aanwezig waren in de broncode van de installatiesoftware. Daarmee kon hij inloggen op de infrastructuur van de leverancier, waaronder het deel van de infrastructuur waar de stemmentelsoftware was ondergebracht.
Hij had daar een eigen, aangepaste versie van de software kunnen plaatsen. Of dat op zichzelf genoeg was geweest om de verkiezingen te manipuleren, is niet zeker: in theorie moeten gemeenten controleren of de digitale handtekening van de software klopt, voordat ze hem gebruiken.
Snel opgelost
Met een vervalste handtekening kon de software als legitiem worden aangemerkt; daarvoor had de hacker verder in de interne infrastructuur van de software moeten doordringen. Er zijn geen concrete aanwijzingen dat dat mogelijk was. "Het was gelukkig een ethische hacker: een hacker met goede bedoelingen", zegt Joost. "Hij was wel erg te spreken over hoe serieus dit werd aangepakt, want in juni kwam hij erachter, en inmiddels is het opgelost."
Het probleem werd pas na de Provinciale Statenverkiezingen afgelopen maart opgemerkt. Met hoeveel verkiezingen de kwetsbare software is gebruikt, is onbekend.
Hacker ontdekt kwetsbaarheid in telsoftware verkiezingen: 'minder dan uur werk'
Download de NPO Radio 1-app
Met onze app mis je niks. Of het nou gaat om nieuws uit binnen- en buitenland, sport, tech of cultuur; met de NPO Radio 1-app ben je altijd op de hoogte. Download 'm hier voor iOS en hier voor Android.