Hacker ontdekt kwetsbaarheid in telsoftware verkiezingen: 'Minder dan uur werk'
Een lek in de stemmentelsoftware die is gebruikt voor verkiezingen in Nederland heeft in potentie het manipuleren van verkiezingsuitslagen mogelijk gemaakt. Er zijn geen aanwijzingen dat dat is gebeurd; een hacker die het lek ontdekte, heeft het gemeld bij de Kiesraad. Inmiddels is het opgelost, meldt die instantie.
Gemeenten gebruiken de software om de totalen van stembureaus bij elkaar op te tellen. De versie met het lek werd voor het eerst gebruikt in het najaar van 2021, bij de gemeentelijke herindelingsverkiezingen. Dat gebeurde ook bij de gemeenteraadsverkiezingen een jaar later en bij de Provinciale Statenverkiezingen van afgelopen maart.
In juni werd het lek ontdekt. Bij de komende Tweede Kamerverkiezingen van 22 november is het lek niet meer aanwezig.
Gemanipuleerde versie
Door het lek konden kwaadwillenden toegang krijgen tot de infrastructuur van de softwareleverancier die de stemmentelsoftware maakt. Daarmee zou een aangepaste, gemanipuleerde versie van de software kunnen worden verspreid, waarmee uiteindelijk bijvoorbeeld de uitslag van verkiezingen zou kunnen worden aangepast.
De leverancier van de software heeft "een aantal inlogpogingen geregistreerd", meldt de Kiesraad in antwoord op vragen van de NOS. Er is echter geen aanleiding om te denken dat dat leidde tot misbruik van de software, benadrukt de instantie.
Bovendien worden na het tellen van de stemmen steekproeven genomen om te controleren of de tellingen kloppen, waardoor fraude zou moeten worden opgemerkt.
Handtekening
De hacker die het probleem vond en meldde, ontdekte dat inloggegevens van de leverancier aanwezig waren in de installatiesoftware. Daarmee kon hij inloggen op de infrastructuur van de leverancier, waaronder het deel van de infrastructuur waar de stemmentelsoftware was ondergebracht.
Hij had daar een eigen, aangepaste versie van de software kunnen plaatsen. Of dat op zichzelf genoeg was geweest om de verkiezingen te manipuleren, is niet zeker: in theorie moeten gemeenten controleren of de digitale handtekening van de software klopt, voordat ze hem gebruiken.
Met een vervalste handtekening kon de software als legitiem worden aangemerkt; daarvoor had de hacker verder in de interne infrastructuur van de software moeten doordringen. Er zijn geen concrete aanwijzingen dat dat mogelijk was.
Snel opgepakt
Hacker Maarten Boone, die het lek vond, schrijft minder dan een uur nodig te hebben gehad om het lek uit te pluizen. Tegelijkertijd roemt hij de reactie van het hoofd ict-beveiliging van de Kiesraad. "Ze hebben het heel snel opgepakt en het oplossen ging soepel en supersnel", aldus Boone.
Ook schrijft hij blij te zijn met de praktijk in Nederland dat hackers met goede bedoelingen op een veilige manier kwetsbaarheden in computerprogramma's kunnen melden, zonder bang te hoeven zijn voor vervolging.
Installatiesoftware
Het beveiligingsprobleem is waarschijnlijk nooit opgemerkt omdat bij eerdere beveiligingstests de installatiesoftware nooit is onderzocht. Dat is te lezen in een beslisnota die demissionair minister De Jonge van Binnenlandse Zaken heeft gepubliceerd. Vanaf nu wordt die installatiesoftware ook meegenomen.
Uit een aanvullende beveiligingstest, die werd uitgevoerd na melding van het lek, kwamen nog twee kleinere beveiligingsproblemen naar boven. Die zijn inmiddels opgelost.