Lek in stemmentelsoftware Nederlandse verkiezingen mogelijkheid tot manipulatie uitslagen

Gepubliceerd op 12/09/2023 19:00 in Tech

Een lek in de stemmentelsoftware die gebruikt werd bij verkiezingen in Nederland heeft potentieel de mogelijkheid geboden om verkiezingsuitslagen te manipuleren. Hoewel er geen bewijs is dat dit ook daadwerkelijk is gebeurd, heeft een hacker die het lek ontdekte dit gemeld bij de Kiesraad. De instantie meldt dat het lek inmiddels is opgelost.

Het lek bevond zich in de software die gemeenten gebruiken om de totalen van stembureaus op te tellen. Deze versie van de software met het lek werd voor het eerst gebruikt bij de gemeentelijke herindelingsverkiezingen in het najaar van 2021. Het werd ook gebruikt bij de gemeenteraadsverkiezingen een jaar later en bij de Provinciale Statenverkiezingen in maart van dit jaar.

Het lek werd in juni ontdekt en zal niet aanwezig zijn bij de aankomende Tweede Kamerverkiezingen op 22 november.

Het lek gaf kwaadwillenden de mogelijkheid om toegang te krijgen tot de infrastructuur van de softwareleverancier van de stemmentelsoftware. Hierdoor kon een aangepaste en gemanipuleerde versie van de software worden verspreid, waarmee bijvoorbeeld verkiezingsuitslagen aangepast konden worden.

De Kiesraad meldt dat de leverancier van de software "een aantal inlogpogingen heeft geregistreerd". Er is echter geen enkele aanwijzing dat dit geleid heeft tot misbruik van de software, zo benadrukt de instantie. Bovendien worden na het tellen van de stemmen steekproeven genomen om de correctheid van de tellingen te controleren, waardoor fraude zou worden opgemerkt.

De hacker, die het probleem ontdekte en meldde, kwam erachter dat inloggegevens van de leverancier aanwezig waren in de installatiesoftware. Hiermee kon hij inloggen op de infrastructuur van de leverancier, inclusief het gedeelte waar de stemmentelsoftware zich bevond. Hij had daar een eigen aangepaste versie van de software kunnen plaatsen. Het is echter niet zeker of dit op zichzelf voldoende zou zijn geweest om de verkiezingen te manipuleren, aangezien gemeenten theoretisch gezien de digitale handtekening van de software moeten controleren voordat ze deze gebruiken.

Met een vervalste handtekening kon de software als legitiem worden beschouwd, maar hiervoor zou de hacker verder moeten doordringen in de interne infrastructuur van de software. Er zijn echter geen concrete aanwijzingen dat dit mogelijk was.

Hacker Maarten Boone, die het lek ontdekte, zegt minder dan een uur nodig te hebben gehad om het lek te vinden. Hij is echter lovend over de reactie van het hoofd ICT-beveiliging van de Kiesraad. Boone geeft aan dat het probleem snel en efficiënt is opgelost. Hij is ook blij met het feit dat hackers in Nederland op een veilige manier kwetsbaarheden in computerprogramma's kunnen melden, zonder bang te hoeven zijn voor vervolging.

Het beveiligingsprobleem is waarschijnlijk nooit opgemerkt omdat de installatiesoftware bij eerdere beveiligingstests nooit is onderzocht. Dit blijkt uit een beslisnota van demissionair minister De Jonge van Binnenlandse Zaken. Vanaf nu zal de installatiesoftware ook worden meegenomen in de beveiligingstests. Na melding van het lek zijn er nog twee kleine beveiligingsproblemen ontdekt die inmiddels zijn opgelost.