Britse kiesraad werd in oktober 2022 gehackt, had geen impact op verkiezingen

De Britse kiesraad is in oktober vorig jaar getroffen door een cyberaanval. Daarbij zijn namen en adresgegevens van veertig miljoen Britse stemmers uitgelekt. De hack heeft geen invloed gehad op verkiezingen, zegt de kiesraad.

De Electoral Commission, vergelijkbaar met de Nederlandse Kiesraad, schrijft op haar website over de aanval. Die vond al in oktober 2022 plaats. De commissie heeft toen binnen 72 uur melding gemaakt van de aanval bij de Britse privacytoezichthouder en het National Cyber Security Centre, maar dit is voor het eerst dat er publiekelijk iets over de hack wordt gezegd. Wat er precies gebeurd is, blijft overigens onbekend. De Electoral Commission zegt dat zij in oktober 2022 'verdachte activiteit' detecteerde op haar netwerken. "Het is duidelijk dat vijandige actoren de systemen voor het eerst troffen in augustus 2021", schrijft de commissie.

Het is niet bekend hoe de hackers binnenkwamen, hoe ze onopgemerkt bleven en hoe ze te werk gingen. "We weten welke systemen toegankelijk waren voor de aanvallers, maar kunnen niet definitief vaststellen welke gegevens zij wel of niet hebben aangeraakt", schrijft de commissie. Het is evenmin bekend om wat voor vijandige actoren het gaat en of de hackers gelieerd waren aan een bepaald land.

De commissie zegt wel dat in ieder geval contactinformatie is gestolen van Britse stemmers. Het gaat om kopieën van lokale stemregisters. Daarin worden namen en woonadressen van stemmers opgeslagen. Ook wordt in sommige gevallen opgeslagen wat de leeftijd is van een stemmer. Dat gebeurt als die persoon dat jaar de stemgerechtigde leeftijd bereikt. Verder kan het zijn dat er persoonsgegevens zoals e-mailadressen of telefoonnummers zijn gestolen. Dat is het geval als burgers contact met de commissie hebben opgenomen.

De hack heeft geen directe gevolgen voor de uitslag van verkiezingen in het Verenigd Koninkrijk. Die worden, net als in Nederland, op papier gedaan. Desalniettemin roept de hack vragen op over de handelswijze van de Electoral Commission. Zo is onduidelijk waarom het meer dan tien maanden duurde voordat de commissie het incident openbaar maakte en hoe het kan dat het nog steeds onduidelijk is welke gegevens er precies gestolen zijn.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 09-08-2023 09:26 34

09-08-2023 • 09:26

34

Lees meer

Internationaal Strafhof bevestigt slachtoffer van cyberaanval te zijn
Internationaal Strafhof bevestigt slachtoffer van cyberaanval te zijn Nieuws van 20 september 2023
'Amerikaanse hotelketen Caesars betaalde miljoenen aan hackers die data stalen'
'Amerikaanse hotelketen Caesars betaalde miljoenen aan hackers die data stalen' Nieuws van 14 september 2023
Rechter: regering VS mag geen contact meer hebben met socialmediabedrijven
Rechter: regering VS mag geen contact meer hebben met socialmediabedrijven Nieuws van 5 juli 2023
Kiesraad wil alternatief voor cd-rom en stembiljetten elektronisch tellen
Kiesraad wil alternatief voor cd-rom en stembiljetten elektronisch tellen Nieuws van 16 juni 2023
Europees Parlement stemt voor invoering van AI-wetgeving
Europees Parlement stemt voor invoering van AI-wetgeving Nieuws van 14 juni 2023
Kiesraad ontbindt contract leverancier verkiezingssoftware na gemiste deadline
Kiesraad ontbindt contract leverancier verkiezingssoftware na gemiste deadline Nieuws van 21 april 2023
Computerbeveiligingswetenschapper Herbert Bos wordt lid van Nederlandse Kiesraad
Computerbeveiligingswetenschapper Herbert Bos wordt lid van Nederlandse Kiesraad Nieuws van 14 april 2023
Kiesraad: nieuwe verkiezingssoftware wordt dit jaar opgeleverd
Kiesraad: nieuwe verkiezingssoftware wordt dit jaar opgeleverd Nieuws van 24 maart 2023
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Hack Hackers Verenigd koninkrijk Verkiezingen

Reacties (34)

-Moderatie-faq
34
34
16
1
0
14
Wijzig sortering
Tintel
9 augustus 2023 10:18
En niemand stelt de vraag: waarom worden al die specifieke gegevens opgeslagen?
namen en woonadressen van stemmers
persoonsgegevens zoals e-mailadressen of telefoonnummers zijn gestolen
In welke wereld heeft het stembureau het telefoonnummer van een stemmende burger nodig? Alleen om deze te bellen nadat de gegevens zijn gestolen dus.... 8)7

Welke gegevens heeft het stembureau nodig? Verstuurd deze stempassen of worden deze centraal verstuurd? Dan nog is het na het versturen toch simpel - alleen maar naam nodig en BSN (of de engelse variant dus) - die worden gecontroleerd bij uitbrengen van de stem. Stem gemaakt - alle data weg of hoogstens het BSN nummer opslaan.
AuteurTijsZonderH Nieuwscoördinator @Tintel9 augustus 2023 11:43
Verder kan het zijn dat er persoonsgegevens zoals e-mailadressen of telefoonnummers zijn gestolen. Dat is het geval als burgers contact met de commissie hebben opgenomen.
Je telefoon- en e-mail is dus alleen als je contact met ze hebt opgenomen voor een vraag.
En niemand stelt de vraag
Omdat dat gewoon op de website staat:
held by the Commission for research purposes and to enable permissibility checks on political donations
Dat gaat dus alleen om adressen.

Bovendien verzamelt niet 'het stembureau' die, maar de centrale kiesraad.
Tintel
@TijsZonderH9 augustus 2023 11:52
Bovendien verzamelt niet 'het stembureau' die, maar de centrale kiesraad.
Dat mag wel zo zijn maar het artikel zegt:
Het gaat om kopieën van lokale stemregisters.
Waarom heeft dan het lokale stemregister die data ook?
En niemand stelt de vraag [waarom worden al die specifieke gegevens opgeslagen?]

Omdat dat gewoon op de website staat:
Opgeslagen en bewaard.
Dat geldt dus alleen voor mensen die nog een contact-moment hebben uitstaan. Zodra het contact is geweest kunnen de gegevens weg.
Voor de andere gegevens geldt (zoals adres): na het stemmen kan de data weg.

Het probleem is: data opslaan/bewaren is 'lekker makkelijk' maar geeft gewoon een veiligheidsrisico. Dat de data nodig was is geen probleem; dat de data nog steeds beschikbaar is, wel.
Aldy @Tintel9 augustus 2023 15:18
Ik ga ervan uit dat dat bewaren van telefoonnummers en mailadressen op slordigheden berust en niet zozeer uit onwil of een verplichting tot bewaren. Maar je hebt gelijk dat ze dit probleem moeten oplossen.
Aangezien de Britten met kiesdistricten werken denk ik dat de centrale kiesraad alle correspondentie verzorgt en daarna de individuele stembureaus van de lijsten met namen voorziet. Dat de centrale kiesraad de namen en adressen van alle stemgerechtigde Britten permanent bewaart lijkt mij logisch, zeker als je bedenkt dat er nog weleens tussentijdse verkiezingen zijn in één of meer districten.

[Reactie gewijzigd door Aldy op 22 juli 2024 22:08]

Tintel
@Aldy9 augustus 2023 17:31
Oh, ik ga ook niet uit van kwade opzet.
Dat de centrale kiesraad de namen en adressen van alle stemgerechtigde Britten permanent bewaart lijkt mij logisch
Maar dan wel in een enkele database (die beter beveiligd is). Exporteren / kopieeren laat het risico op data-diefstal veel hoger oplopen. En dat kun je tegengaan door na gebruik dergelijke tijdelijke(!) data weer weg te gooien.
IJzerlijm @Tintel9 augustus 2023 10:21
Email adres en telefoonnummer zijn optioneel op het registratieformulier.

https://www.gov.uk/govern...if-youre-living-in-the-uk
Tintel
@IJzerlijm9 augustus 2023 11:01
Ja en waarom worden die gevraagd? En waarom worden die vervolgens bewaard? Om mensen vragen te stellen over hun stem....?
CAPSLOCK2000
@Tintel9 augustus 2023 12:13
gokje: omdat het formulier is gemaakt door de goedkoopste programmeur die ze konden vinden en die programmeur niet lang heeft nagedacht maar copy/paste heeft gedaan van het vorige formulier. Nadenken kost tijd en geld. Als er een veldje mist in het formulier komt de klant klagen en moet je er nog een keer naar kijken. Vraag dus maar naar alles zodat je klant in ieder geval de benodigde data heeft.
Horatius @IJzerlijm9 augustus 2023 11:03
Leuk dat het optioneel is maar de GDPR (welke de UK nogsteeds soort van heeft) zegt toch echt dat het verboden is onnodige informatie te verzamelen en zeker PII informatie tot het minimum moet worden bewaakt.
Dus ben benieuwd als het optioneel is waarom ze mensen uberhaupt vragen het in te vullen als ze willen, alleen maar groter datalek.
MrSunsp0t 9 augustus 2023 09:29
Dit voelt voor mij hetzelfde als een asbestfabriek die affikt, maar er geen gevaar is voor de volksgezondheid.
Lumni @MrSunsp0t9 augustus 2023 09:43
Niet helemaal. Als men via papier stemt dan kan er door een hack op de adresgegevens inderdaad geen impact op de verkiezingen zijn.
Robby517 @Lumni9 augustus 2023 11:11
Behalve als je natuurlijk geen kiesplicht hebt maar wel kiesrecht. Dan kan naam en adres van politiek geëngageerde personen natuurlijk wel heel nuttig zijn als deel van een kiescampagne bij de volgende verkiezingen.
BobJung @Lumni9 augustus 2023 09:48
En dat stemmen tellen en centraal optellen is ook handmatig 🫣
Andros @BobJung9 augustus 2023 10:27
Stemmen tellen is handmatig, aantallen worden dan verstuurd per stembureau. Afwijkingen gaan altijd opvallen en dan kan er inderdaad herteld en gezocht worden. Op papier stemmen is een vrij waterdicht systeem, ik zie geen voordelen om dat met machines te doen.
teun95 @Andros9 augustus 2023 10:58
ik zie geen voordelen om dat met machines te doen
Er zijn best voordelen. Daarom is het altijd getouwtrek om het hele proces niet te digitaliseren. Het probleem van digitaal stemmen tellen is het gebrek aan transparantie het democratisch verkiezingsproces ondermijnt.

Er valt niet veel te zien als waarnemen terwijl een machine de stemmen optelt en verstuurt.
Andros @teun959 augustus 2023 11:02
[...]


Er zijn best voordelen.
Zoals :) ? Enige voordeel dat vaak genoemd wordt is dat het sneller gaat. Leuk om de krant de volgende dag vol te schrijven maar daarna duurt het toch een half jaar voor de verkozenen een regering verzonnen hebben dus daar schieten we ook niet veel mee op. Welke concrete voordelen zijn er aan stemmachines die geen nieuwe onnodige problemen opwerpen?
vgroenewold @Andros9 augustus 2023 11:10
Ik zou kunnen denken dat een machine altijd juist de stemmen telt, waar mensen werken worden sowieso fouten gemaakt, al helemaal als je moe wordt en veel hetzelfde moet verwerken. Dat zal niet veel zijn, dus de vraag is dan wat de impact daarvan is. Als dat onderzocht is en een non issue betreft, dan lijkt mij een machine minder interessant.
Andros @vgroenewold9 augustus 2023 11:48
Fouten zijn er altijd, dat klopt maar de afwijkingen zijn nooit groot. Machinaal kun je veel grotere aantallen vervalsen zonder dat het opvalt en dat maakt stemmen met machines een stuk linker. Op papier kan er altijd herteld worden, het hele proces is transparant en er is toezicht op het tellen. Ja, er zal heus eens een foutje gemaakt worden dat partij X een paar stemmen te veel krijgt maar dat maakt normaal gezien het verschil niet. En bij twijfel, opnieuw hertellen, desnoods door iemand anders :) .
Aldy @Andros9 augustus 2023 15:25
Denk dat als één of meer stemmachines gehackt zijn de hele verkiezing daar over moet, aangezien je volgens mij niet kunt zien wat het eigenlijk moet zijn.
jerisson @Aldy9 augustus 2023 21:40
Er zijn redelijk wat controlemechanismes om dat te voorkomen (toch hier in België). Dit is de procedure die wij gebruiken: https://verkiezingen.fgov...mmen/elektronisch-stemmen

Na het stemmen aan de stemcomputer krijgt men een printout van de stem. Daarop staat de stem zowel tekstueel en in een barcode. De stemmer kan dus al nagaan of de stem tekstueel correct is. Vervolgens moet de stemmer de barcode scannen, gaat er luik open, en moet hij de printout deponeren in de stembus. Pas hier worden de stemmen digitaal geregistreerd op 2 usb-sticks.

Wat niet (volledig) vermeld staat in bovenstaande link:
Aan het eind van de dag brengt de voorzitter, samen met nog een andere persoon, de usb-sticks én de printouts naar het kantonhoofdbureau. Daar worden steekproefgewijs de printouts vergeleken met de digitale stemmen per bus. Als er al stemcomputers gehackt zijn dan komt dat daar wel aan het licht. (Bron: briefing door de voorzitter bij de verkiezingen in 2019. Ik had de *kuch* eer om opgeroepen te worden om mee te helpen in het kiesbureau.) Ook bij het opstarten worden testen uitgevoerd (de helpers brengen teststemmen uit) om te kijken of alles correct werkt.

Natuurlijk kunnen er slechts een paar systemen gehackt zijn, die dan net niet gecontrolleerd worden bij de steekproef. Maar je weet niet op voorhand welke kantoren gecontrolleerd worden, en het lijkt me dat je al aanzienlijk wat kennis van de systemen moet hebben (alsook de toegang ertoe). Veel moeite om data in hoogstens een paar kantoren onopvallend te kunnen vervalsen.

Vergelijk dat dan met stemmen op papier: tijdens de (Belgische) gemeenteraadsverkiezingen in 2018 zijn er in Bilzen enkele stembiljetten verloren gegaan in enkele kiesbureaus, waardoor de verkiezing ongeldig verklaard werden. Gevolg: iedereen in Bilzen, een half jaar later, verplicht terug naar de kiesbureaus en een net iets andere uitkomst dan voorheen (met daardoor andere coalities). Bij digitaal stemmen is er een controlemechanisme (want zowel digitale en analoge registratie) waardoor dit waarschijnlijk niet nodig was geweest.

In Bilzen werd er (zover mij bekend) pas een controle uitgevoerd nadat bleek dat de grootste partij net kleiner was dan de coalitie van de oppositie. Als de kloof groter was geweest had waarschijnlijk geen haan gekraaid naar de - al dan niet moedwillig - verloren gegane stembiljetten.
Aldy @jerisson10 augustus 2023 09:51
Zo te lezen willen wij in Nederland opnieuw het wiel uitvinden. Begrijp niet dat ze niet even over de (zuid)grens kijken.
blissard @Andros9 augustus 2023 12:17
De hoeveelheid werk die grotendeels door vrijwilligers wordt verzet is gigantisch en wordt groter naarmate de afmeting van de stembiljetten / het aantal partijen toeneemt.

Afgelopen verkiezingen zijn prima verlopen, maar waren wel een grote aanslag op de mensen die moesten tellen. Het zal denk ik steeds lastiger worden om voldoende vrijwilligers te vinden die hier zo veel tijd in willen en kunnen steken.

Dat werk zou je kunnen verminderen en ik zie dat wel als een voordeel ( ondanks dat ik het werk op zich graag doe)
CivLord @Andros10 augustus 2023 07:47
Het resultaat moet ook zo snel mogelijk bekend worden gemaakt. Een uur na sluiten van de stembureaus is misschien wat overdreven, maar zeker in de ochtendbladen en op de nieuwssites de volgende dag.
Elk uitstel is tijd die een partij die niet blij is met de voorspelde uitslag zal kunnen gebruiken om de eigen achterban aan te zwengelen dat die tijd gebruikt wordt om hen door fraude de verkiezingswinst door de neus te boren. Wanneer de uitslag kort volgt op alle nieuwsberichten over prognoses en exit-polls, zien mensen dat dat ongeveer met elkaar in lijn ligt. Dan kunnen sommige partijen wel wat sputteren, maar dat is dan niet erg geloofwaardig. Wanneer er meer dan een dag zit tussen het stemmen en het bekendmaken van de uitslag, kunnen partijen die verwachten weinig stemmen te hebben gekregen die tijd gebruiken om hun achterban er van te overtuigen dat die tijd gebruikt wordt om van alles aan te passen, zodat zij frauduleus gaan verliezen. Bij mensen die daar gevoelig voor zijn verdwijnen de prognoses in een 'blinde vlek' en is de voor hen teleurstellende uitslag de bevestiging van wat hun partijleider heeft gezegd.
Je hebt in de VS gezien waar dat toe kan leiden. En bij de corona- en boerenprotesten heb je gezien dat we hier ook de nodige randdebielen hebben die niet gehinderd door enige feitenkennis of verstand van zaken op een beweging meeliften en geweld gebruiken om hun eigen ongenoegen aan de wereld te tonen.

Edit: Om dezelfde reden moet het hele proces ook transparant zijn. Een telmachine als een black-box waar de uitslag uit komt rollen heeft exact hetzelfde probleem, ook al zweren tal van deskundigen, privacy-voorvechters en bezorgde kiezers op hun nageslacht tot in de tiende generatie dat ze het hele proces hebben nagelopen en dat het 100% betrouwbaar en veilig is.
Daarom altijd twee twee sporen: Papieren stembiljetten die eenvoudig machinaal geteld kunnen worden, maar ook achteraf handmatig geteld kunnen worden voor de maximale transparantie.

[Reactie gewijzigd door CivLord op 22 juli 2024 22:08]

sfc1971 @Andros9 augustus 2023 11:29
Gaan afwijkende aantallen net zo opvallen als toegang door onbevoegden tot je systemen?
TheVivaldi @Andros9 augustus 2023 12:46
Met de nadruk op “kan”. Het is al meermaals voorgekomen dat er afwijkingen waren die een partij een zetel konden opleveren, maar er werd niet herteld.

Een ander nadeel is dat er mogelijk te weinig formulieren zijn, zoals in Nijmegen een aantal jaar geleden. Of een stembureau in Almere dat een aantal jaar geleden 30 minuten te vroeg sloot. En hoewel gelukkig niet in Nederland, maar wat dat dacht je van de biljetten in Wit-Rusland die uit het raam werden gekieperd?

Niet dat ik overigens wil zeggen dat op papier slecht is - ik ben zeker geen fan van digitaal stemmen! Ik ben het zelfs met je eens dat papier beter is, dus laat daar geen misverstand over bestaan. :) Maar papier heeft ook nadelen.
Aldy @TheVivaldi9 augustus 2023 16:31
Het alternatief van op papier stemmen hebben we ook al gehad en dat is uiteindelijk niet goed bevallen. Het grote nadeel van papier is dat de breedte van de stemhokjes moeten worden aangepast. :)
Ik hoop ooit nog mee te maken dat er een waterdicht systeem komt, waardoor we wel via een stemmachine kunnen stemmen. Ik wilde eerst schrijven: een waterdichte stemmachine, maar dat is nodig als de zeespiegel blijft stijgen.
Andros @MrSunsp0t9 augustus 2023 09:33
Of een rustig verlopen carnaval met slechts een enkele schietpartij.
Skit3000 @Andros9 augustus 2023 10:01
Dat waren twee schietpartijen, als je doelt op het Zomercarnaval in Rotterdam.

Maar goed; ja, het is slecht dat er van 40 miljoen mensen gegevens zijn gelekt en nee; dat heeft natuurlijk geen invloed gehad op de uitslag van de verkiezingen. Het is min of meer een kopie van wat in Nederland de Basisregistratie Personen (BRP) is.
Andros @Skit30009 augustus 2023 10:26
Dat was het idee, het argument is dat berichtgeving gekleurd kan zijn op basis van hoe je het brengt. En het laatste zomercarnaval in Rotterdam is daar een voorbeeld van :) .
WoutervOorschot @MrSunsp0t9 augustus 2023 10:37
Het klinkt inderdaad als een probleem, maar als achteraf de registratie (niet op wie je hebt gestemd) op straat komt te liggen is dat geenszins van invloed op hoe afgelopen verkiezingen zijn gelopen. Hooguit zou je kunnen zeggen dat partijen met deze data specifieker mensen kunnen aansporen om zich te gaan registreren om te stemmen (in VK moet je eerst registreren voor je mag stemmen, itt nederland waar bijna iedereen met id-bewijs mag stemmen).

En bij die asbest, als de wind een andere kant op stond of als bijvoorbeeld al het gemaakte asbest ergens anders opgeslagen lag, hoeft het ook geen gevaar voor volksgezondheid op te leveren ;)
Blasterxp @MrSunsp0t9 augustus 2023 10:28
hahah je hebt gevoel voor humor. En volledig mee eens!
XephireUK 9 augustus 2023 10:46
Dit is de tweede data breach die bekend is gemaakt. Ook veel van de naam gegevens, standplaats, rang, etc van de Noord-Ierse politie is door een foutje een paar uur op het internet geweest. "Nuttige" informatie voor de "IRA" gerelateerde groepen. (Soort WOB verzoek dat niet alle "onnodige" data verwijderd had)

https://news.sky.com/stor...ian-staff-report-12936303

edit: link
edit 2: Geen adres gegevens, dus "NAW" veranderd naar "naam"

[Reactie gewijzigd door XephireUK op 22 juli 2024 22:08]

Speedster 9 augustus 2023 12:53
Altijd leuk zo'n verkiezingen gehackt onderwerp. Alle complot theorie aanhangers komen met dit soort onderwerpen, uit de kast.
Jammer dat je hier de complot theorie aanhangers niet kan blokkeren. Op twitter kan dat wel en dat scheelt ZOVEEL onzin.

[Reactie gewijzigd door Speedster op 22 juli 2024 22:08]

wizzfrizzle 9 augustus 2023 17:32
Dit artikel mist nogal wat informatie, bijvoorbeeld dat er gegevens van meer dan 40 miljoen mensen buitgemaakt zijn, en dan zijn Schotland en Wales niet eens meegeteld.
De informatie die gevraagd wordt wordt voor meerdere zaken gebruikt: versturen van stembiljet maar ook census. Elk jaar komt er een brief in de bus waarin wordt gevraagd om het aantal stemgerechtigden op dat adres te verifiëren. Doe je dat niet kan er een boete van 1000 pond volgen.
Je kan kiezen of je je gegevens op de openbare lijst wil hebben (ik ken niemand die dat wil) of niet.
De jaarlijkse meldplicht is waarschijnlijk de reden dat deze informatie bewaard wordt, legitiem of niet.
Ze hebben wel direct alles, adres, emailadres, telefoonnummer etc.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq