VVD gebruikte lekke site voor verkiezingen

Op verzoek van BNR werd de stemsite van Inkesta bekeken door Sijmen Ruwhof, ethisch hacker en voorzitter van de Stichting Tegen Hackbare Verkiezingen, in bijzijn en met medewerking van Willem Meijer, politiek commissaris digitalisering van de JOVD.

'Niet Poetin-proof'

Ruwhof ontdekte in een sessie van 5 uur naar eigen zeggen zo’n 40 securityrisico’s en twee datalekken. Zo kreeg hij relatief eenvoudig toegang tot kandidaatgegevens uit andere verkiezingen die via Inkesta worden gehouden, en kon hij via de marketing-pagina’s van Inkesta potentieel vertrouwelijke documenten inzien van klanten van Inkesta.

Over het al dan niet integere verloop van de verkiezingen durft hij niet met zekerheid iets te zeggen (“dan moet ik zaken gaan uitproberen die ik ethisch niet in de haak vindt”), maar hij, noch Inkesta, noch de VVD hebben vooralsnog concrete redenen om aan de uitslag te twijfelen. Desondanks noemt beveiligingsexpert Brenno de Winter bij BNR het proces in elk geval “niet Poetin-proof”.

Dankbare ondernemer

Ondernemer Jan Versluys, de 53-jarige IT-ondernemer en eigenaar van Inkesta, is blij met de feedback van Ruwhof. Vrijwel alle issues die Ruwhof bij hem heeft aangekaart, zijn volgens Versluys inmiddels opgelost. Alleen afscheid nemen van Google fonts, waardoor de IP-adressen van stemmers zichtbaar worden voor Google, kost iets meer tijd.

Versluys betreurt het beeld dat ontstaat uit de bevindingen van Ruwhof en wil graag enige nuancering plaatsen. Wat hem betreft gaat het om hooguit één datalek, namelijk de toegang tot kandidaatgegevens uit andere verkiezingen die door Inkesta worden verzorgd. Het lek via de marketingpagina's heeft geen werkelijk vertrouwelijke documenten blootgelegd. Versluys heeft het dan ook liever over privacy-risico's.

“Wij laten onze diensten periodiek checken door externe testers, onder meer door DongIT en SecureLab, maar ook individuele hackers die we hiervoor inschakelen. Die hebben nooit serieuze issues bij ons gemeld. Google Fonts gebruiken we bijvoorbeeld al langer, maar dat is nooit eerder als security-issue bij ons naar voren gebracht.”

“Misschien zegt het ook iets over de vaardigheden van Ruwhof dat hij wél in staat is geweest deze issues boven tafel te halen”, aldus Versluys. De laatste pentest die DongIT bij Inkesta heeft uitgevoerd dateert van juni 2020. Inkesta heeft het datalek inmiddels gemeld bij de Autoriteit Persoonsgegevens.

Liever met potlood en papier

Voor Ruwhof, die notoir kritisch kijkt naar digitale verkiezingsoplossingen, bevestigt dit opnieuw dat dit soort stemmingen beter ‘gewoon fysiek’ gedaan kunnen worden. “Dat is veel beter zichtbaar en controleerbaar. Dan krijg je niet meer dit soort vage risico’s en voorkom je discussie over de uitslag.” Hij noemt het gebruik van Inkesta door de VVD een “ongelukkige keuze”.

Volgens Meijer van de JOVD bewijst het vooral dat het gebruik van software voor delicate zaken overal een issue is. “Je moet altijd kritisch naar dit soort systemen blijven kijken”, zegt hij tegenover BNR. “Is het wel echt veilig?” De VVD zelf meldt geen reden te hebben om te twijfelen aan het proces van de voorzittersverkiezing, maar Ruwhof stelt wel vast dat bij de selectie “niet veel IT-experts betrokken kunnen zijn geweest.”

Saillant detail: de VVD is op de eigen partij-site erg kritisch over privacy in digitale omgevingen. “We vinden het niet genoeg om te vertrouwen op de goede bedoelingen van overheden en bedrijven. Wij willen technische garanties dat de persoonlijke gegevens niet misbruikt worden.” Kennelijk heeft de partij in dit geval toch te gemakkelijk vertrouwd op de mooie woorden van de leverancier.