Lijsttrekkersverkiezing CDA moet over
- Nieuws
- Lijsttrekkersverkiezing CDA moet over
Het CDA heeft besloten om zijn lijsttrekkersverkiezing over te doen, omdat het niet kan garanderen dat de verkiezing eerlijk is verlopen. Kwaadwillenden konden geautomatiseerd valse stemmen uitbrengen, erkent de partij tegenover de NOS.
Presentatrice Saïda Maggé sprak er in Nieuws en Co over met techredacteur Joost Schellevis en politiek verslaggever Wilco Boom.
Video niet beschikbaar
Vanaf morgen moeten alle leden die hun stem al hadden uitgebracht, opnieuw stemmen. "We willen zeker weten dat de verkiezing eerlijk is gelopen, en dat kunnen we nu niet garanderen", zegt partijvoorzitter Rutger Ploum. Dat de verkiezing over moet, noemt hij "ontzettend vervelend".
CDA-leden konden oorspronkelijk tot morgenmiddag stemmen. Leden kunnen kiezen uit minister Hugo de Jonge van Volksgezondheid, staatssecretaris van Economische Zaken Mona Keijzer en Tweede Kamerlid Pieter Omtzigt.
Volgens Ploum zijn er geen aanwijzingen dat er daadwerkelijk valse stemmen zijn uitgebracht, anders dan de stemmen van een ethische hacker die het probleem bij de partij aankaartte. Maar hij kan het ook niet uitsluiten; reden voor het partijbestuur om de verkiezing over te doen. De partij heeft het stemprogramma aangepast.
Stemcodes
TU Delft-promovendus Jordy San Jose Sanchez ontdekte het probleem. Hij tipte eerst het CDA en toen de NOS. "Het ging fout met de stemcodes die mensen moeten invullen", zegt hij. "Er waren veel te weinig mogelijke combinaties."
Daardoor waren de codes te raden. "Als je willekeurig cijfers intikte, was er een kans van één op de 250 dat je een correcte stemcode invoerde", zegt San Jose Sanchez. Die kans is misschien nog relatief klein als je codes met de hand invoert, maar dat proces kan worden geautomatiseerd.
Met een computerprogrammaatje konden net zo lang willekeurige cijfers ingevoerd worden tot er een geldige stem werd uitgebracht. San Jose Sanchez slaagde erin op die manier drie valse stemmen uit te brengen. "Drie keer op Mona Keijzer, dat was toeval", zegt hij. Beveiligingsonderzoekers Tom Wolters en Benjamin Broersma wisten zijn bevindingen te verifiëren.
Alle stemmen
Toen San Jose Sanchez merkte dat het lukte om valse stemmen uit te brengen, staakte hij zijn pogingen. "Als ik was doorgegaan, had ik uiteindelijk alle stemmen kunnen uitbrengen", zegt hij. Op één computer had dat binnen 30 uur gekund, denkt hij. "Maar met wat meer voorbereiding kon dat binnen een uur."
Daardoor zouden wel de stemcodes van alle CDA-leden geblokkeerd worden: die leden hadden dan niet kunnen stemmen. Daarmee zou grootschalige fraude waarschijnlijk niet onopgemerkt zijn gebleven. Maar minder grootschalige, goed doordachte fraude zou lastiger op te sporen zijn, denkt de onderzoeker.
Opvallend genoeg gebruikt de partij bij de nieuwe stemming dezelfde codes van zeven cijfers. Wel moeten leden bij het stemmen hun postcode invoeren en kijkt het beveiligingsbedrijf Fox-IT mee of er verdachte stemmen worden uitgebracht.
Zebrapaden en verkeerslichten
Aanvankelijk dacht de partij het probleem gisteravond te hebben opgelost, door gebruikers te vragen om te bewijzen dat ze geen robot zijn. Gebruikers moeten dan bijvoorbeeld zebrapaden of verkeerslichten aanklikken.
Die aanpassing bleek echter ook eenvoudig te omzeilen, ontdekten Broersma en Wolters, waarna de partij vanmiddag besloot om de verkiezing over te doen.