Bij Nederlandse verkiezingen wordt achter de schermen software uit 2009 gebruikt om stemmen digitaal te tellen. Aan de computers waarop deze software draait, worden nauwelijks veiligheidseisen gesteld en deze kunnen dus zeer kwetsbaar zijn voor een hack.
Het nieuws blijkt uit een onderzoek dat is gedaan door ethisch hacker Sijmen Ruwhof op verzoek van RTL Nieuws. Die kreeg een tip van beveiligingsconsultant Sjoerd van der Hoorn. De software, genaamd Ondersteunende Software Verkiezingen, of OSV, stamt van origine uit 2009 en zou kunnen draaien op Windows XP, als een gebruiker dat zou willen. De software komt niet te pas bij de stembureaus, maar wel bij de regiopunten, de twintig kieskringen en het centraal stembureau. Voor de bemanning op al deze punten is het mogelijk om hun eigen computers te leveren om de software op te draaien, wat het mogelijk maakt dat deze ook daadwerkelijk werken met Windows XP. Tussen deze punten worden de resultaten ook vervoerd op onversleutelde usb-sticks.
Ruwhof vond zoveel grote en kleine kwetsbaarheden in de documentatie en instructies van de software, dat hij ze niet eens allemaal in zijn verslag weet te noemen. Voor het gebruik van OSV is bijvoorbeeld een browser vereist omdat er een webserver gedraaid wordt, hoewel alle bewerkingen uiteindelijk lokaal worden uitgevoerd. Die browser mag iedere versie van Chrome of Firefox zijn, inclusief versies die nu niet meer veilig zijn. Bij bepaalde configuraties is deze lokale webserver gewoon bereikbaar vanaf het lokale netwerk of zelfs het internet. Bij de instructies wordt wel aangeraden om de wifi van een computer uit te zetten, maar over een eventuele ethernetverbinding wordt niet gesproken.
Tussendoor worden wel bepaalde controles uitgevoerd om te waarborgen dat met onvervalste bestanden gewerkt wordt. De kandidatenlijsten moeten bijvoorbeeld geverifieerd worden op basis van een sha-1-hash. Dit encryptiealgoritme is echter oud en onveilig en gebruikers kunnen deze fase zonder problemen overslaan door simpelweg aan te geven dat de hash klopt zonder daadwerkelijk een controle te doen. Sterker nog, in de instructievideo's voor de software wordt deze stap ook snel overgeslagen. Daarnaast lijkt het de bedoeling dat de pdf-bestanden met de hashes van de tellingen geprint worden om te voorkomen dat ze samen met de xml-bestanden van de uitslagen zelf gemanipuleerd worden. Ook dit gebeurt niet bij de instructies.
Een hertelling vindt alleen plaats als een medewerker van het tellingsproces vermoedt dat er iets niet in de haak is. Mocht niemand echter een manipulatie in het proces doorhebben, dan gelden deze vervalste stemmen gewoon. In reactie op de bevindingen laat de Kiesraad nu door securitybedrijf Fox-IT de software onderzoeken. Het is volgens RTL Nieuws het eerste veiligheidsonderzoek waar de software aan wordt onderworpen. In een reactie op Kamervragen benadrukte minister Plasterk van Binnenlandse Zaken nog de betrouwbaarheid van het digitale gedeelte van het verkiezingsproces.