Een lek in de stemmentelsoftware die is gebruikt voor verkiezingen in Nederland heeft in potentie het manipuleren van verkiezingsuitslagen mogelijk gemaakt. Er zijn geen aanwijzingen dat dat is gebeurd; een hacker die het lek ontdekte, heeft het gemeld bij de Kiesraad. Inmiddels is het opgelost, meldt die instantie.
Gemeenten gebruiken de software, Ondersteunende Software Verkiezingen 2020, om de totalen van stembureaus bij elkaar op te tellen.
Door het lek konden kwaadwillenden toegang krijgen tot de infrastructuur van de softwareleverancier die de stemmentelsoftware maakt. Daarmee zou een aangepaste, gemanipuleerde versie van de software kunnen worden verspreid, waarmee uiteindelijk bijvoorbeeld de uitslag van verkiezingen zou kunnen worden aangepast.
Voor zover bekend is dat niet daadwerkelijk gebeurd. Bovendien worden na het tellen van de stemmen steekproeven genomen om te controleren of de tellingen kloppen, waardoor fraude zou moeten worden opgemerkt. Bij de komende Tweede Kamerverkiezingen van 22 november is het lek niet meer aanwezig.
Handtekening
De hacker die het probleem vond en meldde, ontdekte dat inloggegevens van de leverancier aanwezig waren in de broncode van de installatiesoftware. Daarmee kon hij inloggen op de infrastructuur van de leverancier, waaronder het deel van de infrastructuur waar de stemmentelsoftware was ondergebracht.
Hij had daar een eigen, aangepaste versie van de software kunnen plaatsen. Of dat op zichzelf genoeg was geweest om de verkiezingen te manipuleren, is niet zeker: in theorie moeten gemeenten controleren of de digitale handtekening van de software klopt, voordat ze hem gebruiken.
Met een vervalste handtekening kon de software als legitiem worden aangemerkt; daarvoor had de hacker verder in de interne infrastructuur van de software moeten doordringen. Er zijn geen concrete aanwijzingen dat dat mogelijk was.
Snel opgepakt
Het probleem werd pas na de Provinciale Statenverkiezingen afgelopen maart opgemerkt. Met hoeveel verkiezingen de kwetsbare software is gebruikt, is onbekend.
Hacker Maarten Boone, die het lek vond, schrijft minder dan een uur nodig te hebben gehad om het lek uit te pluizen. Tegelijkertijd roemt hij de reactie van het hoofd ict-beveiliging van de Kiesraad. “Ze hebben het heel snel opgepakt en het oplossen ging soepel en supersnel”, aldus Boone.
Ook schrijft hij blij te zijn met de praktijk in Nederland dat hackers met goede bedoelingen op een veilige manier kwetsbaarheden in computerprogramma’s kunnen melden, zonder bang te hoeven zijn voor vervolging.
Installatiesoftware
Het beveiligingsprobleem is waarschijnlijk nooit opgemerkt omdat bij eerdere beveiligingstests de installatiesoftware nooit is onderzocht. Dat is te lezen in een beslisnota die demissionair minister De Jonge van Binnenlandse Zaken heeft gepubliceerd. Vanaf nu wordt die installatiesoftware ook meegenomen.
Uit een aanvullende beveiligingstest, die werd uitgevoerd na melding van het lek, kwamen nog twee kleinere beveiligingsproblemen naar boven. Die zijn inmiddels opgelost.