Lijsttrekkers vullen Stemwijzer in.
Lijsttrekkers vullen Stemwijzer in. © ANP

'Niet goed nagedacht over beveiliging Stemwijzer'

Door een lek in Stemwijzer is de partijvoorkeur van alle gebruikers enige tijd zichtbaar geweest, stelt Loran Kloeze van het ict-beveiligingsbedrijf Ralon. Door te kijken in de data die tussen gebruikers en de gisteren geopende Stemwijzer heen en weer worden gestuurd, ontdekte de Meppelse ict-specialist de totaaltelling van alle stemadviezen die de website heeft verstrekt. 'Er is niet goed nagedacht over de beveiliging', zegt beveiligingsdeskundige Frank Groenewegen van Fox-IT.

Stemwijzer stuurde de gegevens met alle totalen onversleuteld naar elke gebruiker, constateerde Kloeze. Door te kijken in gegevens die normaal gesproken niet worden getoond, kreeg hij de codering om afzonderlijke partijen te identificeren,  boven water, inclusief het totaal uitgebrachte aantal stemmen per partij. Op een andere pagina ontdekte hij welk nummer voor welke partij stond, waardoor het mogelijk werd een totaaloverzicht te maken.

De rangschikking is een indicatie van de partijvoorkeuren van gebruikers van Stemwijzer tot gisteravond. Daaruit blijkt dat de meeste adviezen richting PVV gaan (38.688 'stemmen'), gevolgd door de PvdA (35.542 'stemmen') en VVD (33.007).

Stemwijzer heeft dinsdag bevestigd dat sprake is van een lek en heeft maatregelen genomen, zodat de gegevens niet langer zichtbaar zijn. Een woordvoerster zegt dat de site voorlopige 'uitslagen' bewust niet wil publiceren, omdat Stemwijzer zich niet beschouwt als een peilinginstrument. 'De data zijn daarvoor niet geschikt omdat mensen bijvoorbeeld meerdere keren de vragenlijst invullen en ook minderjarigen de Stemwijzer gebruiken.'   

Knullig

Het gaat hier niet om onbelangrijke gegevens

Loran Kloeze, ict-beveiligingsbedrijf Ralon

Kloeze noemt de gang van zaken bij Stemwijzer bijzonder knullig. 'Ik heb alleen nog maar het laaghangende fruit geplukt. Het gaat hier niet om onbelangrijke gegevens, veel mensen gebruiken Stemwijzer bij het bepalen van hun voorkeur bij de verkiezingen.'   

Niet goed nagedacht

Alle problemen die in deze korte tijd zijn gevonden, voorspellen niet veel goeds

Frank Groenewegen, principal security expert bij Fox-IT

De gang van zaken laat volgens principal security expert Frank Groenewegen van Fox-IT zien 'dat er niet zo goed is nagedacht over de beveiliging als je zou mogen verwachten bij een politiek gevoelige site als deze'.

Alle problemen die tot nu toe al in een korte periode zijn gevonden voorspellen niet veel goeds, zegt Groenewegen. 'Het hang en sluitwerk ziet er niet goed uit, maar om het echt zeker te weten, zou je daadwerkelijk moeten proberen in te breken. '

Door alle onrust is het vertrouwen van gebruikers vermoedelijk geschaad. 'Om vertrouwen te behouden, is transparantie en een goede onderbouwing nodig hoe je omgaat met gegevens die gebruikers achterlaten', stelt de beveiligingsexpert. Dat is nu niet gebeurd.  

Om de beveiliging goed te testen, is volgens Groenewegen een zogenoemde penetratietest nodig, waarbij alle onderdelen van het systeem worden onderzocht. Dat lijkt nu niet het geval, anders waren de huidige problemen wel aan het licht gekomen voordat de website live ging. 'Maar zoiets kost tijd en geld. Als je dat traject nog in moet gaan en er problemen naar voren komen, is er eigenlijk niets meer aan te doen, zeker omdat de verkiezingen al over vijf weken zijn.  Er had beter over nagedacht moeten worden.'