Privégegevens in te zien

Hoe anoniem is het 'anonieme' referendum van Forum voor Democratie?

04 december 2020 13:28 Aangepast: 04 december 2020 15:28
Lijsttrekker Thierry Baudet van Forum voor Democratie (FvD) tijdens de uitslagenavond

Het 'anonieme' referendum van Forum voor Democratie is helemaal niet zo anoniem. Het systeem dat de stemmen verwerkt weet de volledige namen, e-mail- en internetadressen van alle stemmers, ondanks dat Forum dit probeert te verbergen.

Bij Forum rommelt het al een tijdje. Nu houdt de partij een omstreden referendum om te bepalen of Thierry Baudet de partijleider blijft. Volgens Forum is het referendum, waarvan vanavond de uitslag wordt verwacht, 'veilig en anoniem', zo valt te lezen op hun website

Leden van Forum hebben een e-mail ontvangen met daarin een link om te kunnen stemmen via het systeem van Big Pulse, een bedrijf dat online stemmingen verzorgt. 

Deze link is gekoppeld aan hun volledige naam en e-mailadres, zonder dat Forum-leden dit weten. Op de stempagina zelf is namelijk alleen de vraag te zien: 'Wilt u dat Thierry Baudet de partijleider blijft van FVD?' met de antwoorden 'ja' en 'nee'.

Zo ziet de stempagina van Forum eruit. Zo ziet de stempagina van Forum eruit.

Stemnummer aanpassen

Door een simpele truc is het mogelijk om onderdelen te zien die door het systeem worden verhuld. In het webadres om te stemmen staat 'p63260', wat het nummer is voor het referendum van Forum. Door dat getal aan te passen kom je in de omgeving van een andere online stemming, bijvoorbeeld de Universiteit van Leeds. Daar zie je wel degelijk dat je privégegevens in het geniep worden opgeslagen en verwerkt.

"Dit hele systeem ziet er ontzettend brak uit", zegt een ethisch hacker die anoniem wenst te blijven. "Je zou met geen mogelijkheid in een andere stemming mogen komen, en al helemaal niet door een paar cijfertjes aan te passen."

Hier zie je de privégegevens die worden opgeslagen en verwerkt. Hier zie je de privégegevens die worden opgeslagen en verwerkt.

Nadat je hebt gestemd kun je de stem niet meer aanpassen. Je krijgt dan een stembewijs te zien met daarop je unieke nummer dat gekoppeld is aan je volledige naam en e-mailadres, het ip-adres van je apparaat, een uniek stemnummer en een unieke ontvangstcode van je stem. 

Achterkant niet dicht

Ook de achterkant van het stemsysteem van Big Pulse was voor iedereen toegankelijk. De url voor dit geheime onderdeel van de website was te vinden in robots.txt, een bestandje dat tegen Google zegt welke websiteonderdelen niet in de zoekmachine te vinden mogen zijn.

De achterkant had opties om de verkiezing aan te passen, de stemmen te bekijken en stemmen toe te voegen. Het was voor bezoekers niet mogelijk om deze functies te bedienen, maar volgens verschillende ethisch hackers zou het wel mogelijk zijn door in te loggen met het account 'admin' - het belangrijkste account. 

Om in te loggen met het account 'admin' is er nog wel een wachtwoord nodig, dat volgens hackers met het nodige graafwerk zou kunnen worden achterhaald. Door de achterkant af te schermen, waardoor kwaadwillenden niet weten waar ze moeten inloggen, zou je dit gevaar verminderen. 

Voor de publicatie heeft Big Pulse de achterkant verder dichtgetimmerd.

Zo ziet de achterkant van het stemsysteem eruit. Zo ziet de achterkant van het stemsysteem eruit.

Integriteit

"De grote vraag is: kan Forum bij de gegevens van Big Pulse", aldus onderzoeker Matthijs Koot van de Universiteit van Amsterdam, die promoveerde op het anonimiseren van data. "De stemming is strikt gezien niet anoniem omdat Big Pulse veel gegevens over de stemmers opslaat, en dan moet je vertrouwen op de integriteit van het bedrijf en hun dienstverlening."

Een systeem als Big Pulse zou volgens Koot absoluut niet moeten worden gebruikt voor Tweede Kamerverkiezingen, maar voor een intern referendum van een politieke partij kan hij zich voorstellen dat een dergelijke online dienst - met name in tijden van corona - wordt ingezet: "Het is goed dat hier aandacht voor is, omdat online verkiezingen een gevoelig en lastig onderwerp blijven."

Forum

Forum stelt in een reactie tegenover RTL Nieuws dat het niet bij de achterkant van Big Pulse of de gegevens die daarin staan kan. Op de vraag hoe dat voor buitenstaanders onafhankelijk is te verifiëren, wijst de partij door naar Big Pulse. Big Pulse laat in een reactie aan de NOS weten dat deze gegevens niet met Forum worden gedeeld. 

Forum voor Democratie zei gisterenavond in een verklaring dat er 'meerdere hackpogingen' zijn gedaan om het 'bindende referendum' over de positie van zijn aanvankelijk teruggetreden leider Thierry Baudet te beïnvloeden. Er wordt aangifte gedaan van die 'hackpogingen', stelt de partij.

Ook bij CDA problemen

Het is niet de eerste keer dat er problemen zijn rondom een online verkiezing van een partij. Afgelopen augustus waren er twijfels bij de uitslag van de lijsttrekkersverkiezing van het CDA, die Hugo de Jonge nipt van Pieter Omtzigt won.

Het CDA weigerde toen een tiental concrete vragen van RTL Nieuws over het stemproces te beantwoorden. Later stelden accountants dat de verkiezing vol fouten zat en dat het partijbestuur 'allesbehalve een winnaar' aan had kunnen wijzen.

Bekijk ook: Thierry Baudet geëmotioneerd

Baudet reageert met een brok in zijn keel als ook Eva Vlaardingerbroek hem laat vallen

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore