Lijsttrekkersverkiezing CDA moet over vanwege het risico op manipulatie

Het CDA heeft besloten om zijn lijsttrekkersverkiezing over te doen, omdat het niet kan garanderen dat de verkiezing eerlijk is verlopen. Kwaadwillenden konden geautomatiseerd valse stemmen uitbrengen, erkent de partij tegenover de NOS.

De stemming is maandag al begonnen. De leden die hun stem al hadden uitgebracht moeten dat vanaf morgenochtend negen uur tot zaterdagochtend negen uur opnieuw doen. "We willen zeker weten dat de verkiezing eerlijk is gelopen, en dat kunnen we nu niet garanderen", zegt partijvoorzitter Rutger Ploum. Dat de verkiezing over moet, noemt hij "ontzettend vervelend".

Aanvankelijk zouden de CDA-leden tot morgenmiddag kunnen stemmen. Enschedeër Pieter Omtzigt strijdt samen met Hugo de Jonge en Mona Keijzer om het lijsttrekkerschap. 

Tekst gaat verder onder tweet

Ethische hacker

Volgens Ploum zijn er geen aanwijzingen dat er daadwerkelijk valse stemmen zijn uitgebracht, anders dan de stemmen van een ethische hacker die het probleem bij de partij aankaartte. Maar hij kan het ook niet uitsluiten; reden voor het partijbestuur om de verkiezing over te doen. De partij heeft het stemprogramma aangepast.


TU Delft-promovendus Jordy San Jose Sanchez ontdekte het probleem. Hij tipte eerst het CDA en toen de NOS. "Het ging fout met de stemcodes die mensen moeten invullen", zegt hij. "Er waren veel te weinig mogelijke combinaties."

Codes raden

Daardoor waren de codes te raden. "Als je willekeurig cijfers intikte, was er een kans van één op de 250 dat je een correcte stemcode invoerde", zegt San Jose Sanchez. Die kans is misschien nog relatief klein als je codes met de hand invoert, maar dat proces kan worden geautomatiseerd.

Met een computerprogrammaatje konden net zo lang willekeurige cijfers ingevoerd worden tot er een geldige stem werd uitgebracht. San Jose Sanchez slaagde erin op die manier drie valse stemmen uit te brengen. "Drie keer op Mona Keijzer, dat was toeval", zegt hij. Beveiligingsonderzoekers Tom Wolters en Benjamin Broersma wisten zijn bevindingen te verifiëren.

'Alle stemmen binnen dertig uur'
Toen San Jose Sanchez merkte dat het lukte om valse stemmen uit te brengen, staakte hij zijn pogingen. "Als ik was doorgegaan, had ik uiteindelijk alle stemmen kunnen uitbrengen", zegt hij. Op één computer had dat binnen dertig uur gekund, denkt hij. "Maar met wat meer voorbereiding kon dat binnen een uur."

Daardoor zouden wel de stemcodes van alle CDA-leden geblokkeerd worden, waardoor zij niet meer konden stemmen. Daarmee zou grootschalige fraude waarschijnlijk niet onopgemerkt zijn gebleven. Maar minder grootschalige, goed doordachte fraude zou lastiger op te sporen zijn, denkt de onderzoeker.

Verdachte stemmen

Opvallend genoeg gebruikt de partij bij de nieuwe stemming dezelfde codes van zeven cijfers. Wel moeten leden bij het stemmen hun postcode invoeren en kijkt het beveiligingsbedrijf Fox-IT mee of er verdachte stemmen worden uitgebracht.

Zaterdagmiddag om vijf uur wordt de uitslag bekendgemaakt.

Heb je een nieuwstip of nieuwe informatie? Tip de redactie via een WhatsApp-bericht: 06 - 57 03 33 33.

Deel dit artikel: