Statistieken StemWijzer eenvoudig te hacken
Wie niet weet wat hij wil stemmen, of vragenlijstjes gewoon leuk vindt, komt bij verkiezingen vaak uit op de website van StemWijzer.nl. Het blijkt nu dat de statistieken over wat Nederlanders van bepaalde stellingen vinden, kinderlijk simpel te manipuleren zijn. Via een eenvoudig script kan de StemWijzer namelijk eindeloos ingevuld worden.
Dit heeft telematicastudent J. de Groot ontdekt. Hij meldde dit bij Webwereld, die dit heeft laten onderzoeken. In theorie zou het mogelijk zijn om de stemwijzer vanaf één computer (en dus ook één IP-adres) 180.000 keer per uur in te vullen. Momenteel is de StemWijzer 517.000 keer geraadpleegd.
Stemgedrag beïnvloeden
"Hierdoor is het mogelijk de verdeling van meningen over stellingen totaal te veranderen en een heel ander beeld te creëren van hoe Nederland over bepaalde belangrijke thema's denkt", aldus De Groot. De student vindt dat de statistieken 'enigszins accuraat' moeten zijn. De statistieken zijn volgens hem "bewust en onbewust meningvormend en daarmee mogelijk stemgedrag beïnvloedend."
Volgens het beveiligingsbedrijf Certified Secure, welke door Webwereld is ingeschakeld om het script van De Groot te beoordelen, kloppen de beweringen van de student. "Het verbaast me telkens weer dat belangrijke websites hun beveiliging niet helemaal op orde hebben", zegt Frank van Vliet, cto van Certified Secure. "Wanneer de ontwikkelaars ooit een goede training hadden gevolgd (inclusief het aanleren van de hacker mindset), hadden ze dit probleem al zien aankomen."
Oplossingen
Van Vliet komt met een aantal oplossingen om dit probleem tegen te gaan. Allereerst stelt hij voor om het invullen van de statistieken te beperken tot 1 keer per IP adres. "Bijvoorbeeld slechts 1 set antwoorden per ip-adres opnemen in de statistieken. Dan moet de aanvaller echt veel machines onder controle hebben om nog enig effect te hebben."
Om de manipulatie via botnets te voorkomen, raadt Van Vliet aan om gebruik te gaan maken van een captcha.
'Geen grote impact'
Het Instituut voor Publiek en Politiek, de initiatiefnemer van StemWijzer, heeft bij monde van Jochum de Graaf een reactie gegeven. Volgens hem zou de impact van een mogelijke manipulatie niet al te groot zijn. "De publicitaire waarde van de scores op de stellingen is gering en door genoemde maatregelen zullen wij grote fluctuaties daarin tijdig op het spoor komen en ongedaan maken."
Ook denkt De Graaf dat het uitvoeren van manipulerende scripts eventueel illegaal zou zijn. "Wanneer wij denken dat er strafbare feiten worden gepleegd zullen wij niet aarzelen daarvan aangifte te doen."