Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gegevens van alle 6,5 miljoen Israëlische stemmers zijn uitgelekt via app

Persoonsgegevens van bijna 6,5 miljoen Israëlische stemmers waren toegankelijk via een politieke app. Likoed, de politieke partij van minister-president Netanyahu, uploadde de gegevens naar de app. Logingegevens voor de database stonden in de broncode van de site.

De Israëlische krant Haaretz kreeg via een anonieme tipgever te horen dat de kiezersgegevens op straat lagen. Volgens de krant waren de gebruikersnamen en wachtwoorden van admin-accounts te vinden door simpelweg de broncode van de Elector-website te bekijken. Daarmee kon ingelogd worden en was de complete database met persoonsgegevens van kiezers te downloaden.

Het gaat om data van 6.453.254 Israëliërs, waaronder namen, identiteitskaartnummers, adressen, het geslacht en in sommige gevallen ook telefoonnummers en 'andere persoonlijke details'. Politieke partijen in Israël ontvangen dergelijke informatie voorafgaande aan verkiezingen. Partijen moeten de informatie goed beschermen en mogen de database niet reproduceren of aan derde partijen leveren. Na de verkiezingen moet de database verwijderd worden.

Likoed uploadde de database naar de Elector-app, een eigen applicatie voor het 'managen van verkiezingen', die onder andere gebruikt wordt om tijdens de verkiezingsdag statistieken weer te geven en stembureaus onderling berichten uit te laten wisselen. Feed-b, het bedrijf dat de app heeft ontwikkeld, zegt dat het lek is gedicht. Likoed heeft niet gereageerd op vragen van de krant.

De anonieme tipgever voorzag de krant van persoonlijke details van belangrijke Israëliërs, afkomstig uit de database. Het is niet bekend hoeveel mensen toegang hebben gekregen tot de persoonsgegevens. Haaretz merkt op dat de app gebruikers heeft in verschillende landen, waaronder de VS, China en Rusland. Advocaten hebben een verzoek ingediend bij de verkiezingscommissie om het gebruik van de app te verbieden.

Volgens de krant hebben privacyvoorvechters al gewaarschuwd voor het gebruik van de applicatie. Publicaties TheMarker en Ha’ayin Hashivi’it maakten eerder al bekend dat de app het mogelijk maakt om databases aan te leggen die in strijd zijn met de privacywetgeving. De app vraagt gebruikers om aanvullende details te geven bij de namen van bekenden en vrienden die mogelijk op Likoed stemmen. Haaretz schrijft dat Likoed in het verleden betrokken is geweest bij meerdere privacyschandalen. Zo is de database van mensen die op de partij stemmen, al meerdere keren uitgelekt via internet. Dit keer gaat het om alle stemgerechtigden in het land.

Door Julian Huijbregts

Nieuwsredacteur

10-02-2020 • 13:38

57 Linkedin

Reacties (57)

Wijzig sortering
Knulligheid ten top dit. Dat zoets in 2020 nog mogelijk is. Je leest zo vaak van dit soort berichten en ik kan mij toch niet voorstellen dat het allemaal onbenullen zijn die dit soort websites e.d. maken.
Vooral in een high-tech land als Israel, ongelofelijk.
Niet alleen een high-tech land, of een land dat bijzonder sterke troeven heeft in de high-tech wereld.
Maar vooral ook een land dat op het paranoïde af bezig is met veiligheid, zowel veiligheid van het eigen grondgebied en de eigen burgers als "offensieve veiligheid" van andere landen en diens burgers (aanvallen dus).
Israël is zelf heel sterk in digitale oorlogsvoering, de centrifuges van de centrales in Iran werden door een virus getroffen waar zowat iedereen de hand van Israël in zag, dus ze zouden toch moeten weten en enig besef moeten hebben dat cyberveiligheid van het allerhoogste belang is?
Digitale en fysieke veiligheid is niet enkel beveiliging, maar ook het vermijden van phishing en social engineering. Goede fysieke en digitale beveiliging is op 1 cruciaal punt zwak: de gebruiker. En dus is social engineering & phising de ideale en nodige skill om sterke veiligheid alsnog te omzeilen. Zo'n database zou elke tegenstander van Israël wel in handen willen krijgen. Ideaal om mee aan de slag te gaan, om "prooien" te selecteren langs wie je nadien toegang tot digitale systemen kan krijgen.
Blijkt maar weer eens waar de prioriteit ligt van Likoed.
En ik kan me nog iets anders inbeelden: persoonsgebonden gegevens; in hoeverre kan dat in een later stadium gekoppeld worden aan stemgedrag?
En hoever gaat Likoed in het intimideren van "tegenstemmers"?
En toch kon Israël niet zonder Nederland bij de aanval op Iran. Dus met alleen technologie kom je er niet.
Ook in een high-tech land is het laagste bod heer-en-meester.
Wanneer de gemiddelde winstmarge van een goed product kleiner is dan het verschil tussen het hoogste en laagste bod, dan weet je dat er ingeleverd wordt op kwaliteit. Bij software is beveiliging een belangrijk onderdeel van de kwaliteit en wanneer iets snel door laaggekwalificeerde ontwikkelaars wordt gemaakt, kun je er zeker van zijn dat dat ten koste gaat van de veiligheid.
Als je zulke gevoelige data aan iedere politieke partij levert kan je er op wachten dat het een keer mis gaat. Niet ieder partij heeft capabele IT in huis, maar daarnaast: jouw id nummer gaat ze geen donder aan.

Van een partij die al decennia regeringspartij is zou je wel verwachten dat uitgerekend zij hun beveiliging op orde hebben.
Als je zulke gevoelige data aan iedere politieke partij levert kan je er op wachten dat het een keer mis gaat.
Precies. Ik snap dan ook niet waarom er bijvoorbeeld telefoonnummers en 'andere persoonlijke details' in staan. Of id-kaart-nummers.

Of eigenlijk überhaupt personalia. Eigenlijk wil je alleen het geslacht, de leeftijd en de gemeente weten. Dan kan je per gemeente in kaart brengen hoeveel procent van geslacht/leeftijd op partij x stemt.

Het valt ook wel binnen de trend van het teveel-en-toch-als-maar-meer gegevens delen, koppelen, controleren en bemoeien. Ook in Nederland:
  1. nieuws: Rechtbank verbiedt inzet SyRI vanwege buitenproportionele inbreuk op ...
  2. Telegraaf: Het kabinet wil het bedrijven toestaan om burgerservicenummers (BSN) van werknemers te gebruiken om na te gaan of hun werkvloer wel cultureel divers is.
  3. reviews: Interview met Michiel Jonker - Anonieme burger en privacyactivist

[Reactie gewijzigd door Redsandro op 10 februari 2020 22:25]

Of eigenlijk überhaupt personalia. Eigenlijk wil je alleen het geslacht, de leeftijd en de gemeente weten. Dan kan je per gemeente in kaart brengen hoeveel procent van geslacht/leeftijd op partij x stemt.
De partijen willen juist gegevens hebben waarmee ze hun eigen leden uit kunnen filteren en op basis van leeftijd, geslacht, adres en mogelijk religie mogelijke stemmers benaderen om ze over te halen vooral op partij X te stemmen.
In het VK en de VS doen ze dit ook, en de partijen willen juist alle kiezers in hun database.
Die proberen ze vervolgens op allerlei manieren te verrijken, van grootschalig via social media tot kleinschalig via verslagen van deur-tot-deur campagnes. Zo bouwen ze een beeld op wie voor welke boodschappen gevoelig is, om die vervolgens met microtargeting te bestoken met FB advertenties e.d.
Ik ben blij dat dat in de EU gewoon verboden is.
Dat zoets in 2020 nog mogelijk is.
Tsja, naarmate de jaren verstrijken en steeds meer data wordt verzameld in een steeds groeiende hoeveelheid databases is het niet de vraag OF die data ooit uitlekt, maar wanneer.

In het kader van de AVG moet je een datalek melden, maar volgens mij is er geen plan om de schade die door zoiets ontstaat te repareren? Ik bedoel, op het moment dat je persoonlijke gegevens (inclusief BSN, pasfoto en vingerafdruk die allemaal zo handig op dat kleine kaartje staan) op straat liggen, wat gaan 'we' dan doen? Voor 1 persoon is dat enigszins te overzien - een nieuw BSN is in elk geval simpel. Voor de vingerafdruk kan je nog een andere vinger nemen. Wordt al een stuk ingewikkelder met je adres - verplicht verhuizen? Maar pasfoto? En dat dan voor tig miljoen mensen.....
Het is te hopen dat het gebeurd, zijn we meteen van dat "handige" systeem af.
Is dit ooit eerder gebeurd, dat er een datalek was waarin nagenoeg de complete bevolking van een land was gecompromitteerd?
Zo goed als de gehele Indiase bevolking was gecompromitteerd door de aadhaar breach:

https://www.tribuneindia....on-aadhaar-details-523361
In Ecuador lekte de gegevens van alle 16,6 miljoen inwoners uit, dus niet alleen de kiesgerechtigden zoals hier het geval.
Some 20.8 million records, within 18GB of data, were exposed on an unsecured server located in Miami, Florida, which appears to be owned by an Ecuadorian company, according to the researchers. The entire population of Ecuador is 16.6 million; the difference can be accounted for by way of duplicated records and others which are not related to citizens of the South American country.

https://www.forbes.com/si...of-ecuador-leaked-online/
Het lijkt me niet zo handig om dit soort data met potentieel onkundigen als politieke partijen te delen. Dat hadden ze zelf ook kunnen bedenken
De data komt juist van de politieke partij! Zij delen het met de maker van de software die er vervolgens alles behalve netjes mee om ging.
Nee, politieke partijen krijgen de data, vermoedelijk van een centrale overheid.
Politieke partijen in Israël ontvangen dergelijke informatie voorafgaande aan verkiezingen.
Je hebt gelijk, maar het is net hoe je het bekijkt. De politieke partij was niet degene die de data daadwerkelijk uit lekte. Hoewel je dat ook in twijfel kunt trekken gezien de tekst:
Partijen moeten de informatie goed beschermen en mogen de database niet reproduceren of aan derde partijen leveren.
Likoed had de data dus al nooit in die app mogen uploaden.
Gebeurd dit ook niet in Nederland?
Iets soortgelijks wel, de AK partij van Erdogan heeft de adressen van kiesgerechtigde Turken in Nederland gekocht en stuurt hen voorafgaand aan de (Turkse) verkiezingen propaganda.

https://www.nu.nl/binnenl...-turkse-nederlanders.html
In België krijgen politieke partijen bij de gemeenteraadsverkiezingen data van de eigen burgers.
https://gdpr.wolterskluwe...-verkiezingen-en-de-gdpr/
Zo is het wettelijk gezien voor politieke partijen mogelijk om gegevens van de kiezerslijsten en de personenlijsten uit het bevolkingsregister aan te wenden als een rechtmatige gegevensbron voor het voeren van politieke prospectie in de aanloop van verkiezingen.
Ik heb geen idee
hoe (in welk formaat, digitaal, op papier, welke gegevens, ...)
of hoe (per gemeente, per deelgemeente, per provincie, ...)
de data van een centrale overheid tot bij de politieke partijen geraakt.
Noch of je een "fake" politieke partij kan oprichten louter om aan de kieslijsten te komen. In grotere steden (Leuven, Gent, Antwerpen, Brussel) levert 1 zo'n lijst best wel wat op natuurlijk.
Zo kreeg een collega verkiezingspropaganda thuisgestuurd op zijn naam. Niets tegen te doen, want perfect legaal.
Ik weet niet of iets soortgelijks bestaat voor Vlaamse, Federale of Europese verkiezingen. Dat gaat over 3-4miljoen burgers (Vlaanderen), dus dat zou nóg veel interessanter worden.
Alle partijen krijgen:
de naam, de voornaam, de geboortedatum, het geslacht en het adres. Voor de niet-Belgische kiezers komt daar nog de nationaliteit bij.

Maar er word flink gezondigd hoor. Zo kreeg ik 'als ondernemer' vlak voor de verkiezingen een "promo-mail" om op partij X te stemmen op mijn zakelijk emailadres.
Dat emailadres is bij de gemeente enkel bekend bij afdeling Economie, toevallig was het hoofd van die afdeling de echtgenoot van de fractieleider van partij X.
Na vraag voor uitleg (ivm GDPR) kreeg ik een slappe uitleg, maar heb het toen maar zo-zo gelaten (daarna niets meer ontvangen).
Noot:
Onze verkiezingen zijn later wel ongeldig verklaard, en een jaar later zijn er een paar veroordelingen geweest vanwege schending GDPR-regels, er wordt gefluisterd ook van mijn gemeente ....
Nee, je krijgt van de kiesraad geen lijst met stemmers of iets dergelijks.

Lijsten zijn ongetwijfeld koopbaar bij allerhande commerciele boeren.
Het uitlekken is natuurlijk heel ernstig, maar is het in de basis niet al een probleem dat men niet anoniem kon stemmen?
Jouw stem zelf is anoniem. Dat je stemgerechtigd bent niet. Dat je gestemd hebt ook niet.

Als voorzitter vorig jaar van een Belgisch stembureau moest ik er op toezien dat niemand zijn stem liet zien. Wanneer iemand dat deed (dit is effectief vier keer gebeurd), moest ik die persoon opnieuw laten stemmen en het biljet verscheuren.

Dat is inderdaad om te vermijden dat bv. de strenge man van een onderdanige vrouw aan vrouwlief oplegt wat zij moet stemmen (en anders krijgt ze klop). Ja, of omgekeerd.

Er mag absoluut geen beïnvloeding zijn.

Maar het mag wel geweten zijn dat jij bent gaan stemmen. Nuja. In België is er stemplicht he. Dus je zou moeten gaan stemmen zijn. M.a.w. wie er moet gaan stemmen is ook gekend en dus niet annoniem.

[Reactie gewijzigd door freaxje op 10 februari 2020 14:23]

Jouw stem zelf is anoniem. Dat je stemgerechtigd bent niet. Dat je gestemd hebt ook niet.
Niet stemmen heeft tegenwoordig ook significante invloed op democratische processen. Of je wel of niet gestemd hebt moet net zo beschermd worden als op wie je hebt gestemd. Dat zou dus wel anoniem moeten zijn.

Om het te vergelijken met Nederland: of je gestemd hebt of niet wordt niet bijgehouden. Enkel of je op bent komen dagen wordt bijgehouden (het welbekende naam doorstrepen van de lijst). Je kan het stemformulier ook gewoon niet in de bus gooien of ongeldig invullen, en er is niemand die dat registreert op een manier dat het naar jou terug te herleiden is.

[Reactie gewijzigd door The Zep Man op 10 februari 2020 14:56]

Ongeveer hetzelfde in België met als enige verschil dat je de brief in de bus moet deponeren.

Als jij die niet hebt ingevuld dan is dat een blanco stem. Maar dat is niet op je naam geregistreerd (er staat geen naam op je stembiljet).

Ik als voorzitter kruis enkel je naam aan in mijn bundel: den deze is komen opdagen. Die lijst gaat nadien naar de vrederechter van het kanton. En die beslist wat er moet gebeuren met zij die niet zijn komen opdagen (dat zijn de mensen wiens naam ik dus niet heb aangeduid).

That's it. (Het is in België stemplicht = je moet komen opdagen).

ps. Ik kan daar ook niet mee prutsen of foeteren: het aantal stembiljetten worden geteld en dit moet overeen komen met het aantal namen die werden aangekruist.

[Reactie gewijzigd door freaxje op 10 februari 2020 15:30]

Het is in België stemplicht = je moet komen opdagen
Dat is dus effectief geen stemplicht, maar een opkomstplicht.
ps. Ik kan daar ook niet mee prutsen of foeteren: het aantal stembiljetten worden geteld en dit moet overeen komen met het aantal namen die werden aangekruist.
Voor iedere persoon die binnenkomt kan je ook een andere naam aankruisen. Al heb je een hekel aan je buurman die komt stemmen, dan is zijn naam heel toevallig niet aangekruist (maar aan het einde van de dag wel die van een willekeurige andere stemmer die niet door omstandigheden kwam opdagen).

[Reactie gewijzigd door The Zep Man op 10 februari 2020 21:01]

Klopt, het is een opkomstplicht.

Je zit daar als voorzitter niet alleen. Er is een secretaris en er zijn bijzitters die uw handelingen en noteringen nakijken en op het einde ook ondertekend moeten goedkeuren.
Hier in Nederland hebben we de "stemfie", stem selfie, die niet verboden is.
Ja dat vind ik een bizar en bijzonder slecht idee om dat toe te laten. Omdat op die manier mensen kunnen tonen, aan mensen die hen onder dwang zetten, of ze op iets bepaald gestemd hebben. In België kan dit absoluut niet. En als je je op die manier gedraagt in het stemlokaal is het normaal gesproken zo dat de voorzitter van het stembureau U op uw gedrag moet wijzen.

Zulke foto's brengen de onafhankelijke stemming ernstig in gevaar.

M.a.w. moet het absoluut onmogelijk gemaakt worden dat uw stem en keuze onder dwang was.

Alle systemen die de stemplichtige daar niet tegen beschermt, ben ik eigenlijk heel erg hard tegen.

En zeker als de enige "vrijheid" is om jouw belachelijke fotootjes te gaan sharen op social media. Dat staat totaal, maar dan ook echt totaal niet in verhouding tot het gevaar dat gepaard gaat met die fotootjes toe te laten.
Ja dat vind ik een bizar en bijzonder slecht idee om dat toe te laten. Omdat op die manier mensen kunnen tonen, aan mensen die hen onder dwang zetten, of ze op iets bepaald gestemd hebben.
In Nederland mag je eenmaal een stembiljet terug inleveren om een nieuwe te krijgen. Dus: stembiljet ontvangen, invullen, foto, stembiljet doorkrassen om hem ongeldig te verklaren, terug inleveren, nieuw stembiljet ontvangen, stemmen op wat je wilt.

[Reactie gewijzigd door The Zep Man op 11 februari 2020 07:50]

Volgens de krant waren de gebruikersnamen en wachtwoorden van admin-accounts te vinden door simpelweg de broncode van de Elector-website te bekijken.
Geen idee in welke taal die site is ontwikkeld, maar het lijkt er sterk op dat er geen gebruik is gemaakt van een gedegen framework... Gebruikersnamen en wachtwoorden IN de broncode van een site...een simpel hobbyproject laat dit niet eens gebeuren.
Op zich zou een framework gebruikt kunnen zijn. Wat ik begreep:

- the url "/get-admin-users" would return a list of all admin users with their plaintext passwords
- this url appeared in the html source of the site's landing page.

Dat sluit geen framework uit.

Maar degene die de view "/get-admin-users" gemaakt heeft was aan het slapen. En die wachtwoorden stonden dus plain text in de database.

[Reactie gewijzigd door Houthacker op 10 februari 2020 14:42]

Oké, dat verheldert de situatie. Ik had niet verder gekeken dan het Tweakers artikel. Zoals jij het schetst kan het met de nieuwste technieken ontwikkeld zijn en is het een serieuze ontwikkelfout.
Een framework is niet meer dan een grote verzameling hulpmiddelen.
Vaak genoeg zie je dat men de documentatie niet leest, en op een hoop vlakken, binnen het framework het wiel opnieuw uitvindt voor zaken waar het framework zelf al in voorziet.
Kortom, een duur, veilig framework is geen garantie voor goede software.
Dat bedrijf Feed-b kan wel inpakken lijkt me. Als je zo slecht om gaat met zulke gevoelige informatie dan mag ik hopen dat niemand nog zaken met je wil doen.
Als je corrupte vriendjes bij de overheid hebt kan niemand je stoppen. Equifax is een top voorbeeld. Ze hoeven niet eens de boete (die al vrijwel niks was voor wat ze gelekt hadden) te betalen.
Equifax is typisch een commercieel bedrijf dat niet bekend is maar achter de schermen heel veel invloed heeft. Of hun bronnen altijd openbaar of legitiem zijn is ook niet helemaal bekend,
ze halen vb heel veel gegevens van social media.

Besef is bij zowel media als burger nog ingeburgerd dat privacy niet veilig is in handen van de overheid.
Logingegevens voor de database stonden in de broncode van de site.
Wow, just wow. In 2020... Dan ben je als applicatiebouwer en bedrijf als eindverantwoordelijke toch echt compleet de weg kwijt.
En niet alleen in 2020, dit advies loopt toch echt minstens 20 jaar
Ho. Ly. Shit. Het is 2020 en dit soort dingen staan gewoon nog in client side code.

Edit: Van de website van Elector:
The System Was Written By Senior Professionals In Cyber Security And Software Systems Development. We Did Not Compromise On Building A System That Would Supply The Goods: We Want It To Work Well And Be Secured By The Strictest Standards.
8)7

[Reactie gewijzigd door thePiett op 10 februari 2020 14:01]

Misschien Hadden Ze Meer Tijd Moeten Steken In Hun Beveiliging Dan In Het Kapitaliseren Van Elk Woord.
The System Was Written By Senior Professionals In Cyber Security And Software Systems Development. We Did Not Compromise On Building A System That Would Supply The Goods: We Want It To Work Well And Be Secured By The Strictest Standards.
Rian van Rijbroek zeker :P

Also:

"We Have No Idea Which Words To Capitalize In A Sentence, So We Just Capitalize Them All!"
Hoe en waarom beschikt een politieke partij eigenlijk over de gegevens van alle stemgerechtigden?

[Reactie gewijzigd door jeroen79 op 10 februari 2020 14:05]

Precies. Ik ben in België vorig jaar aangesteld voorzitter geweest van een stembureau in een kieskanton van mijn gemeente.

Ik kreeg op voorhand inderdaad de namen van alle geregistreerde stemgerechtigden. Maar dat was alleen voor mijn kiesbureau. M.a.w. ik had inzage in zo'n 1000 tal namen. Want ik moet die namen nakijken tijdens de verkiezingsgang.

Maar niet de namen van de miljoenen stemgerechtigden van heel België. Die had en heb ik niet nodig. Had ik die gekregen dat had ik als aangesteld voorzitter waarschijnlijk aan de alarmbel getrokken. Bovendien werd het her en der wel duidelijk gemaakt dat die bundel met namen voor mij bedoeld is. En niet voor iemand anders.

Ik vind het dus ook een erg waanzinnige gang van zaken om alle namen van alle stemgerechtigden van een heel land (want zo groot is Israël nu ook weer niet) in handen te geven van enkelingen. Dat kan alleen maar ooit eens misgaan.
Omdat dat handig is om stemgerechtigden een partijbrochure te sturen en ze te benaderen om op je partij te stemmen. Wanneer genoeg partijen dat handig vinden is het doorvoeren ervan een hamerstuk in de volksvertegenwoordiging.
De vraag is natuurlijk of dit nog toeval is ... 8)7

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True