De HU heeft bij het bedrijf WebElect aangedrongen op een onderzoek naar de vraag of er ook een beveiligingslek mogelijk was tijdens de verkiezingen aan de hogeschool. Gisteren onthulde Folia van de Universiteit van Amsterdam dat onbevoegden via accounts van studenten en medewerkers een stem kunnen uitbrengen. Bij de HU was dit niet het geval, maar het had wel gekund.
De verkiezingsapplicatie WebElect is sinds minimaal een jaar ook in gebruik bij de HU. Uit een artikel van universiteitsplatform Folia blijkt dat met een scriptje (klein softwareprogramma) toegang te verkrijgen is tot accounts. Hiermee kunnen derden vervolgens stemmen tijdens verkiezingen van medezeggenschapsraden. Het gaat om accounts van alle studenten en medewerkers die gerechtigd zijn te mogen stemmen.
Het probleem was al eerder aangekaart door een studentenpartij bij de Rijksuniversiteit Groningen. Folia nam vorige week de proef op de som. Het bleek dat onbevoegden via accounts van instellingen waar op dat moment verkiezingen waren, een stem uit kunnen brengen. Met een script zijn geautomatiseerd 15 miljoen pogingen gedaan om de wachtwoorden van accounts buit te maken. Dat is voor enkele honderden accounts gelukt.
Instellingen en grote bedrijven
Het lukte in elk geval op tientallen accounts van de UvA, Rijksuniversiteit Groningen en de Haagse Hogeschool. Ook konden de journalisten inloggen op accounts van instellingen waar de verkiezingen al achter de rug waren, zoals Wageningen Universiteit en Hogeschool Rotterdam. Daarnaast bleken ze als derden te kunnen stemmen bij verkiezingen van instellingen en grote bedrijven.
De accounts van de HU zijn in het onderzoek niet opgedoken, zegt freelance journalist Koen Marée die samen met Harrit Lamster het onderzoek uitvoerde. De verkiezingen van de HU dateren van medio mei. ‘Als we dit een maand geleden hadden gedaan, dan hadden we in principe hetzelfde geconstateerd bij de HU’, zegt hij desgevraagd. ‘Maar we hebben nu geen gegevens van de HU aangetroffen.’
‘Verkiezingen HU betrouwbaar’
De HU ontving dinsdagmiddag een email van WebElect met de mededeling dat er mogelijk sprake is van een kwetsbaarheid in de verkiezingsapplicatie, vertelt Mathi Vijgen, voorzitter van de Kiescommissie. Het bedrijf kondigde aan daar onderzoek naar te doen. ‘WebElect geeft ook aan dat ze ervan uitgaan dat de verkiezingen aan de hogeschool betrouwbaar zijn verlopen’, benadrukt de voorzitter.
De Kiescommissie drong vervolgens bij WebElect aan op een snel en helder onderzoek. ‘Er moet voor ons snel duidelijkheid komen’, zegt Vijgen. Er wordt gesproken over een ‘datalek’ maar volgens hem is dat nog niet zeker. ‘Dat moet nog onderzocht worden.’ Bij een datalek moeten AVG-procedures in gang gezet worden. Hiervoor is al contact gelegd met de HU-functionaris Gegevensbescherming Roos Roodnat.
Of de verkiezingen aan de HU inderdaad konden worden ‘gekaapt’, moet uit het onderzoek naar voren komen. ‘Dat moet WebElect ophelderen en het moet duidelijk worden wat de schade is. Er moet zekerheid komen dat dit in de toekomst niet meer kan gebeuren’, zegt de voorzitter van de Kiescommissie. Vandaag gaat er een brief naar het college van bestuur en Hogeschoolraad.