Hoe anoniem is het 'anonieme' referendum van Forum voor Democratie?
Het 'anonieme' referendum van Forum voor Democratie is helemaal niet zo anoniem. Het systeem dat de stemmen verwerkt weet de volledige namen, e-mail- en internetadressen van alle stemmers, ondanks dat Forum dit probeert te verbergen.
Bij Forum rommelt het al een tijdje. Nu houdt de partij een omstreden referendum om te bepalen of Thierry Baudet de partijleider blijft. Volgens Forum is het referendum, waarvan vanavond de uitslag wordt verwacht, 'veilig en anoniem', zo valt te lezen op hun website.
Leden van Forum hebben een e-mail ontvangen met daarin een link om te kunnen stemmen via het systeem van Big Pulse, een bedrijf dat online stemmingen verzorgt.
Deze link is gekoppeld aan hun volledige naam en e-mailadres, zonder dat Forum-leden dit weten. Op de stempagina zelf is namelijk alleen de vraag te zien: 'Wilt u dat Thierry Baudet de partijleider blijft van FVD?' met de antwoorden 'ja' en 'nee'.
Stemnummer aanpassen
Door een simpele truc is het mogelijk om onderdelen te zien die door het systeem worden verhuld. In het webadres om te stemmen staat 'p63260', wat het nummer is voor het referendum van Forum. Door dat getal aan te passen kom je in de omgeving van een andere online stemming, bijvoorbeeld de Universiteit van Leeds. Daar zie je wel degelijk dat je privégegevens in het geniep worden opgeslagen en verwerkt.
"Dit hele systeem ziet er ontzettend brak uit", zegt een ethisch hacker die anoniem wenst te blijven. "Je zou met geen mogelijkheid in een andere stemming mogen komen, en al helemaal niet door een paar cijfertjes aan te passen."
Nadat je hebt gestemd kun je de stem niet meer aanpassen. Je krijgt dan een stembewijs te zien met daarop je unieke nummer dat gekoppeld is aan je volledige naam en e-mailadres, het ip-adres van je apparaat, een uniek stemnummer en een unieke ontvangstcode van je stem.
Achterkant niet dicht
Ook de achterkant van het stemsysteem van Big Pulse was voor iedereen toegankelijk. De url voor dit geheime onderdeel van de website was te vinden in robots.txt, een bestandje dat tegen Google zegt welke websiteonderdelen niet in de zoekmachine te vinden mogen zijn.
De achterkant had opties om de verkiezing aan te passen, de stemmen te bekijken en stemmen toe te voegen. Het was voor bezoekers niet mogelijk om deze functies te bedienen, maar volgens verschillende ethisch hackers zou het wel mogelijk zijn door in te loggen met het account 'admin' - het belangrijkste account.
Om in te loggen met het account 'admin' is er nog wel een wachtwoord nodig, dat volgens hackers met het nodige graafwerk zou kunnen worden achterhaald. Door de achterkant af te schermen, waardoor kwaadwillenden niet weten waar ze moeten inloggen, zou je dit gevaar verminderen.
Voor de publicatie heeft Big Pulse de achterkant verder dichtgetimmerd.
Integriteit
"De grote vraag is: kan Forum bij de gegevens van Big Pulse", aldus onderzoeker Matthijs Koot van de Universiteit van Amsterdam, die promoveerde op het anonimiseren van data. "De stemming is strikt gezien niet anoniem omdat Big Pulse veel gegevens over de stemmers opslaat, en dan moet je vertrouwen op de integriteit van het bedrijf en hun dienstverlening."
Een systeem als Big Pulse zou volgens Koot absoluut niet moeten worden gebruikt voor Tweede Kamerverkiezingen, maar voor een intern referendum van een politieke partij kan hij zich voorstellen dat een dergelijke online dienst - met name in tijden van corona - wordt ingezet: "Het is goed dat hier aandacht voor is, omdat online verkiezingen een gevoelig en lastig onderwerp blijven."
Forum
Forum stelt in een reactie tegenover RTL Nieuws dat het niet bij de achterkant van Big Pulse of de gegevens die daarin staan kan. Op de vraag hoe dat voor buitenstaanders onafhankelijk is te verifiëren, wijst de partij door naar Big Pulse. Big Pulse laat in een reactie aan de NOS weten dat deze gegevens niet met Forum worden gedeeld.
Forum voor Democratie zei gisterenavond in een verklaring dat er 'meerdere hackpogingen' zijn gedaan om het 'bindende referendum' over de positie van zijn aanvankelijk teruggetreden leider Thierry Baudet te beïnvloeden. Er wordt aangifte gedaan van die 'hackpogingen', stelt de partij.
Je hebt niet alle cookies geaccepteerd. Om deze content te bekijken moet je deaanpassen.
Ook bij CDA problemen
Het is niet de eerste keer dat er problemen zijn rondom een online verkiezing van een partij. Afgelopen augustus waren er twijfels bij de uitslag van de lijsttrekkersverkiezing van het CDA, die Hugo de Jonge nipt van Pieter Omtzigt won.
Het CDA weigerde toen een tiental concrete vragen van RTL Nieuws over het stemproces te beantwoorden. Later stelden accountants dat de verkiezing vol fouten zat en dat het partijbestuur 'allesbehalve een winnaar' aan had kunnen wijzen.