Statistieken StemWijzer.nl eenvoudig te hacken
Gepubliceerd: Dinsdag 18 mei 2010
Auteur: Ernst-Jan Hamel
Via een eenvoudig script is de StemWijzer eindeloos vaak automatisch in te vullen. De statistieken over wat Nederlanders vinden van bijvoorbeeld de hypotheekrenteaftrek zijn dus zwaar manipuleerbaar.
Telematicastudent J. de Groot tipte de redactie van Webwereld over de mogelijkheid om de statistieken "op grootschalige wijze" eenvoudig te manipuleren. Meermaals invullen kan vanaf één computer (en dus 1 ip-adres), of via een botnet van geïnfecteerde computers, om niet op te vallen. Hij zou in theorie de enquête in één uur vanaf een enkele computer 180.000 maal met bepaalde antwoorden kunnen invullen. Op dit moment is de StemWijzer 517.000 maal ingevuld.
Stemgedrag beïnvloeden
"Hierdoor is het mogelijk de verdeling van meningen over stellingen totaal te veranderen en een heel ander beeld te creëren van hoe Nederland over bepaalde belangrijke thema's denkt", vertelt De Groot. Hij vindt dat de statistieken, die bezoekers van StemWijzer na 30 stellingen een indruk geven wat de rest van Nederland vindt, "enigszins accuraat" moeten zijn. Ze zijn immers "bewust en onbewust meningvormend en daarmee mogelijk stemgedrag beïnvloedend".
Beveiligingsbedrijf Certified Secure heeft op verzoek van Webwereld gekeken naar het script van De Groot. Experts van het bedrijf bevestigen dat het "eenvoudig" is om met het script de resultaten te beïnvloeden.
"Het verbaast me telkens weer dat belangrijke websites hun beveiliging niet helemaal op orde hebben", zegt Frank van Vliet, cto van Certified Secure. "Wanneer de ontwikkelaars ooit een goede training hadden gevolgd (inclusief het aanleren van de hacker mindset), hadden ze dit probleem al zien aankomen."
Manipulatie met botnets
Een van de oplossingen voor StemWijzer is volgens Van Vliet het beperken van statistieken op basis van ip-adres. "Bijvoorbeeld slechts 1 set antwoorden per ip-adres opnemen in de statistieken. Dan moet de aanvaller echt veel machines onder controle hebben om nog enig effect te hebben." Om manipulatie door middel van botnets tegen te gaan, raadt Van Vliet het invoeren een captcha aan.
Het Instituut voor Publiek en Politiek, initiatiefnemer van de StemWijzer, is maandagmorgen op de hoogte gesteld van de mogelijkheid tot manipulatie. Er zijn inmiddels preventieve maatregelen genomen die een eventuele aanval kunnen weerstaan, zegt Jochum de Graaf, projectleider van StemWijzer.
'Geen grote impact'
De impact van de mogelijke manipulatie is niet groot, aldus De Graaf. "De publicitaire waarde van de scores op de stellingen is gering en door genoemde maatregelen zullen wij grote fluctuaties daarin tijdig op het spoor komen en ongedaan maken."
Ook meldt De Graaf dat het uitvoeren van manipulerende scripts zich op gespannen voet met de wet kunnen bevinden. "Wanneer wij denken dat er strafbare feiten worden gepleegd zullen wij niet aarzelen daarvan aangifte te doen."
EénVandaag
Het tv-programma EénVandaag besteedt wel aandacht aan de StemWijzer, maar daar gaat het volgens De Graaf "zuiver om de inhoud". Het actualiteitenprogramma belicht wat politieke partijen antwoorden op de stellingen van StemWijzer. "Hooguit komen in de zijlijn statistieken voorbij van wat Nederlanders gestemd hebben. Verder gaat het niet".
