CDA’ers die deze week hun stem hadden uitgebracht op een lijsttrekker moeten dat opnieuw doen nadat TBM-promovendus Jordy San Jose Sanchez een lek had aangetoond.
“Het was eigenlijk heel simpel”, vertelt promovendus Jordy San Jose Sanchez (faculteit Techniek, Bestuur en Management) over zijn ontdekking. De website voor het stemmen van de lijsttrekker is open voor iedereen. Daar moest een 7-cijferige cijfercode ingevoerd worden (er stond ‘0000000’) waarna de bezoeker een stem kon uitbrengen op Hugo de Jonge, Mona Keijzer of Pieter Omtzigt.
San Jose Sanchez schreef een programmaatje dat 7-cijferige codes genereerde en liet dat los op de stempagina. Nadat hij drie keer een juiste code gevonden had en een stem kon uitbrengen nam hij contact op met zijn hoogleraar prof.dr. Michel van Eeten (vakgebied cybersecurity). Ook besloot de promovendus het CDA van het lek op de hoogte te brengen.
Opnieuw
De partij besloot vervolgens om de lijsttrekkersverkiezing over te doen omdat het niet kon garanderen dat de verkiezing eerlijk was verlopen. “We willen zeker weten dat de verkiezing eerlijk is verlopen, en dat kunnen we nu niet garanderen”, zei partijvoorzitter Rutger Ploum tegen de NOS. Vanaf donderdag tot zaterdagochtend kunnen CDA-leden (opnieuw) hun stem uitbrengen.
Postcode
Wat is er nu anders? Oud marine-officier en econometrist San Jose Sanchez ziet een aantal verschillen. De zeven nullen zijn verdwenen uit het stemcodevenster. Verder moeten stemmers hun lidnummer invoeren en hun postcode. Huh? Stemmen is toch anoniem? De postcode wordt naderhand gecontroleerd door een notaris, meldt de website, ‘zodat wederom de anonimiteit van de stemming gewaarborgd is.’ Ook is er een Captcha aan de pagina toegevoegd wat het moeilijker maakt om het formulier automatisch in te vullen omdat er bijvoorbeeld dingen uit een foto herkend moeten worden. De NOS meldt dat het CDA het beveiligingsbedrijf Fox-IT heeft ingehuurd.
String
San Jose Sanchez vindt het vreemd dat het CDA nog steeds dezelfde 7-cijferige stemcodes gebruikt, omdat niet uitgesloten kan worden dat iemand de codes heeft achterhaald op de vorige website. Wat een betere manier geweest was? Een individuele lange random string van 20 cijfers en getallen per mail naar leden versturen en die laten invoeren als paswoord, stelt de promovendus voor.
Jordy San José Sanchez onderzoekt het gebruik van kunstmatige intelligentie bij het detecteren van cyber aanvallen. (Foto: prive-collectie).
Heb je een vraag of opmerking over dit artikel?
j.w.wassink@tudelft.nl
Comments are closed.