Journalisten hacken uraadverkiezingen in Amsterdam en Groningen
Met een scriptje hebben verslaggevers van het Amsterdamse universiteitsblad Folia het systeem gehackt dat gebruikt wordt bij universitaire verkiezingen in bijvoorbeeld Amsterdam en Groningen. Op redelijk eenvoudige wijze konden ze bij lopende verkiezingen stemmen aan de Universiteit van Amsterdam, de Rijksuniversiteit Groningen en de Haagse Hogeschool.
Folia, het universiteitsblad van de Universiteit van Amsterdam, deed de test na een waarschuwing over de fraudegevoeligheid van het verkiezingssysteem WebElect door de Groningse studentenpartij De Vrije Student. Datzelfde systeem werd vorige week ook gebruikt bij de centrale studentenraad en faculteitsraadverkiezingen aan de UvA.
Simpel script
Na inschrijvingen via Canvas worden studenten doorgestuurd naar het verkiezingssysteem van WebElect, waarbij je identiteit en wachtwoord (beide bestaande uit vijf cijfers) zichtbaar zijn. Dat maakt het mogelijk om met een simpel script alle mogelijke combinaties van usernaam en wachtwoord uit te proberen. Zo kreeg Folia onder meer de mogelijkheid om aan de UvA met de accounts van 49 studenten te stemmen, en 31 in Groningen. Dat hebben ze overigens niet gedaan, melden ze. Ook kon zo gestemd worden bij verkiezingen van de Haagse Hogeschool en een internationaal machinebedrijf.
Dat het bleef bij tientallen gehackte accounts, heeft te maken met de uitvoering van de hacktest, meldt Folia. Ze hielden het op een ‘rustige’ poging om de servers niet te overbelasten, wat later in de verkiezingsweek. “Waren we met dezelfde methode gestart op het moment van delen van de kieslijsten, dan hadden we met duizenden UvA-WebElect-accounts kunnen stemmen.”
Niets gemerkt
Met het script werden in twintig uur tijd zo’n vijftien miljoen inlogpogingen gedaan. Toch greep het verantwoordelijke bedrijf niet in. WebElect-eigenaar Tamara van den Dam-Sloof meldt aan Folia dat ‘binnen de programmatuur qua belastbaarheid niks is opgemerkt’. Ze zegt dat een geplande veiligheidsupdate nu versneld zal worden ingevoerd. Volgens Folia bestaat de kwetsbaarheid in het systeem overigens al sinds 2015.
De Universiteit van Amsterdam laat aan Folia weten geschokt te zijn door het bericht en verder onderzoek te zullen doen om te kijken of dat consequenties heeft voor de uitslag van de verkiezingen. De Rijksuniversiteit Groningen zegt in het Groningse universiteitsblad Ukrant bekend te zijn met de fraudegevoeligheden, maar dat het geen gevolgen heeft voor de uitslag van de recent gehouden verkiezingen. “‘Wij hebben geen reden te twijfelen aan de maandag gepresenteerde verkiezingsuitslag; die is gewoon geldig.”
Tilburg University heeft eigen systeem
Het verkiezingssysteem van WebElect wordt gebruikt door verschillende universiteiten, hogescholen en bedrijven. Maar niet door Tilburg University. “Wij gebruiken een eigen systeem dat we helemaal zelf hebben gebouwd,” zegt Thijs Pieters, secretaris van de Universiteitsraad. Het systeem is inmiddels wel aan vervanging toe, meldt hij, daar wordt nu naar gekeken. Dat moet heel zorgvuldig gebeuren. “Je hebt te maken met zoveel gevoelige gegevens in het personeelsinformatie- en studentinformatiesysteem.”