De Stemwijzer is lek. De belangrijke tool waarmee kiezers aan de hand van een aantal stellingen een stemadvies krijgt blijkt last te hebben van privacy- en beveiligingsproblemen. Wat is er de afgelopen 2 dagen nou precies ontdekt?

De ophef over de Stemwijzer is tweeledig. Aan de ene kant ontdekte een beveiligingsonderzoeker dat er meerdere beveiligingslekken in de website zaten, maar er is nog een ander probleem: het is niet erg anoniem. De Stemwijzer maakt namelijk gebruik van een aantal tools van Google, én stuurt ieder antwoord door naar de makers van de wijzer.

De site van de Stemwijzer maakt gebruik van zowel Google Analytics voor het meten van websitebezoek, als van Google AdSense voor het tonen van advertenties.
 

Analytics

Google Analytics draait op een groot aantal websites op internet, en is een gedetailleerde manier om het bezoek van websites te meten. Dat betekent dat Google ook precies weet wie wat aanklikt op de website. Opvallend is daarbij dat de website elke keer een berihtje naar Analytics stuurt als er een keus is gemaakt. Dat betekent dat Google via Analytics precies kan zien welke aparte keuzes stemmers maken.

Google-data is via Analytics grotendeels geanonimiseerd, maar dat wil niet zeggen dat gegevens niet tot de persoon te herleiden zijn. ProDemos zegt zelf ip-adressen door Google te laten anonimiseren, maar dat geldt alleen voor Googles eigen diensten. Dat betekent dat het bedrijf zelf niets met de gegevens mag doen, maar dat kan wel als Google er bijvoorbeeld om gevraagd wordt in een gerechtelijk bevel. Ook zou het kunnen dat berichten onderweg onderschept worden.
 

Google Analytics is nooit écht anoniem

Daar komt bij dat de stemkeuzes nog steeds te koppelen zijn aan een unieke identifier. Als je die van iemand kunt achterhalen, is het in theorie mogelijk zijn keuzes te onderscheppen.
 

Data voor onderzoek gebruikt

Er staat daarnaast een opvallende clausule in het privacybeleid van de StemWijzer: data wordt "geanonimiseerd" gebruikt voor onderzoek. Dat gebeurt dit jaar voor het eerst. Er wordt ruwe data 'met encryptie' opgeslagen, en aangeboden aan de Universiteit van Amsterdam. Volgens de clausule is de data geanonimiseerd is kan niemand achterhalen vanaf welke computer de antwoorden zijn verstuurd.

Dat wordt bevestigd door de vondst van Kloeze, die ook zag dat alle data ná het stemmen wordt teruggestuurd naar de server van ProDemos. "Je kunt je afvragen of dat nodig is", schrijft hij in een post. De hele stemwijzer wordt namelijk al voor je begint ingeladen. "Je kunt dan je computer van het internet ontkoppelen en nog steeds de Stemwijzer gewoon maken".
 

Advertentienetwerken

Er is ook kritiek op de advertentienetwerken die op de site van de Stemwijzer staan. Ook die komen van Google af, en zijn afkomstig van het DoubleClick-netwerk. Volgens de Stemwijzer zijn advertenties nodig om de kosten te betalen, maar sommige critici zijn het daar niet mee eens. Uit een jaarverslag bleek vorig jaar namelijk dat ruim 90% van de kosten van de Stemwijzer door de overheid werd gesubsidieerd. Advertenties beslaan maar een minimaal deel van de inkomsten, en kunnen volgens critici dan ook makkelijk van de site worden gehaald.
 

Resultaten af te lezen

De resultaten zijn makkelijk uit te lezen

Er is echter meer aan de hand met de website. Die is namelijk lek, en de resultaten zijn makkelijk uit te lezen. Er wordt al maanden gewaarschuwd dat de website niet veilig is, al zijn er sinds die tijd ook wel veel maatregelen ingevoerd. Zo ging het verkeer lange tijd niet over SSL, maar is er inmiddels https geïmplementeerd. Toch zijn er nog meer dan genoeg fouten in de website te vinden.

Dat ontdekte beveiligingsonderzoeker Loran Kloeze, die zijn bevindingen op Twitter zette. Dat is niet eens moeiijk, want volgens Kloeze kon dat gewoon met de standaard debugging-tools die in browsers zitten. Een gedetailleerdere beschrijving heeft Kloeze op zijn blog gezet. Waar het op neer komt, is dat het eindresultaat te vinden is in een php-script op de pagina. Met een python-applicatie die Kloeze schreef kon hij onderscheppen welke resultaten uit de Stemwijzer naar voren kwamen. Zo kan hij monitoren welke partijen het vaakst wordt gegeven. Dat is belangrijke informatie, al zegt de organisatie achter de Stemwijzer dat dat geen representatieve weergave is van de uiteindelijke resultaten.
 

Manipuleren van resultaten

Belangrijker is het secundaire bewijs dat de website lek is. Waar Kloeze slechts data kan uitlezen, zijn er ook aanwijzingen dat de data actief gemanipuleerd is. In de broncode is namelijk ergens de variabele "SijmenRuwhofIsEenLul" te zijn, een verwijzing naar de beveiligingsonderzoeker die vorige week met RTL aantoonde dat het verkiezingsproces onveilig is.

Het lijkt erop alsof data ook te manipuleren is

Het lijkt erop dat het via een soort injectie mogelijk is eigen velden aan de Stemwijzer toe te voegen. De website 'Meedogenloos.nl' heeft inmiddels geclaimd die wijziging te hebben gedaan, maar geeft daar verder geen bewijs of uitleg over. Volgens een Tweakers-forumlid is het mogelijk om een JSON-injectie op te site uit te voeren. Dat gebeurt door een kwetsbaarheid in het AJAX-script dat ervoor zorgt dat de resultaten uiteindelijk weer worden teruggestuurd naar de server van ProDemos - opnieuw dat punt waar Kloeze zich al zorgen over maakte.

Reactie van ProDemos

ProDemos heeft inmiddels gereageerd op de aantijgingen. Volgens de organisatie heeft het al enkele maanden contact met het Nationaal Cyber Security Centrum om diverse beveiligingsproblemen op te lossen, maar zijn er sinds de onthullingen van Kloeze nog extra maatregelen genomen. De instantie erkent dat het mogelijk was dat de code 'SimonRuwhofiseenlul' op de site kon komen, maar voegt daar direct aan toe dat het nooit mogelijk is geweest om stemmen te beïnvloeden.

Het gevaar van onveilige stemwijzers

Onveilige stem-tools zijn zeker nu een heet hangijzer

Ondanks die uitspraak is de beveiliging van de website juist nu een belangrijk onderwerp. Security-experts waarschuwen er namelijk al maanden voor dat de beveiliging van de aankomende verkiezingen gevaar loopt. Vorige week ontdekte RTL bijvoorbeeld al dat de software waarmee de stemmen worden geteld lek was, waardoor het van een afstandje mogelijk is die te onderscheppen en zelfs te manipuleren.

Daarnaast onthulde de Nationaal Coördinator Terrorismebestrijding Dick Schoof vorige week dat Rusland diverse inbraakpogingen had gedaan bij het Ministerie van Algemene Zaken, al werd er tijdens die hacks geen data buitgemaakt.

Inmiddels is ook al bekend dat Rusland achter de hacks zat op de Democratic National Committee, de Amerikaanse Democratische Partij waarvan vorig jaar tienduizenden emails naar buiten kwamen. Amerikaanse inlichtingen- en opsporingsdiensten hebben inmiddels geconcludeerd dat Rusland dat deed om de verkiezingen actief te beïnvloeden.

De tijd dat een screensaver nodig was om je computerscherm te beschermen tegen inbranden, ligt ver achter ons. Vandaag is een screensaver vooral een manier om je computer een persoonlijk tintje te geven. Met een eenvoudige tool verander je je vakantiefilmpjes of familievideo's in een levendige screensaver die je scherm vult zodra de pc even pauze neemt.

Stap 1: Download PUSH VideoWallpaper

Voordat je een video als bureaubladachtergrond instelt, is het verstandig om eerst na te denken over de juiste clips. Voor een opvallend en toch rustig effect werkt een korte video die in een lus draait meestal het best. Met PUSH Video Wallpaper kun je bovendien een afspeellijst maken zodat meerdere clips elkaar automatisch opvolgen. Deze Windows-app is eenvoudig in gebruik en levert de beste resultaten. Je kunt video's afspelen vanaf de harde schijf, maar ook geanimeerde gifs en zelfs YouTube-fragmenten zijn mogelijk. Het programma is niet gratis: een licentie voor persoonlijk gebruik kost 9,95 euro en een thuislicentie voor vijf pc's 14,95 euro. Er is wel een gratis proefversie, waarbij alleen een klein watermerk rechtsonder zichtbaar is.

De eerste stap is het downloaden van PUSH Video Wallpaper (26 MB). Na het binnenhalen installeer je de tool met het bestand VideoWallpaper_setup.exe. Aan het einde van de installatie verschijnt een pop-up met de vraag of je PUSH Video Wallpaper meteen wilt starten en of je de app ook als schermbeveiliging wilt instellen. Vink beide opties aan en klik op Voltooien.

Stap 2: Instellingen

Via het pictogram in het systeemvak kun je met de rechtermuisknop de instellingen openen. Klik bovenaan op het kleine voorbeeldscherm om een afspeellijst samen te stellen. Er staan standaard enkele voorbeeldvideo's klaar. Verwijder die en voeg je eigen filmpjes toe die je als screensaver wilt gebruiken. Ga vervolgens terug naar het tandwieltje en schakel de optie Start with Windows uit. Klik ten slotte op Instellen als schermbeveiliging. De ontwikkelaar gaat ervan uit dat je de tool gebruikt als video-wallpaper. De screensaverfunctie is eigenlijk een extraatje. Door het automatisch opstarten uit te schakelen, gebruik je de app uitsluitend als screensaver en niet als dynamische bureaubladachtergrond.

Stap 3: Als schermbeveiliger instellen

Herstart de pc en ga naar Instellingen / Persoonlijke instellingen / Vergrendelingsscherm / Schermbeveiliging. Hier kun je dan PUSH Video Screen Saver selecteren voor schermbeveiliging.

In de rubriek Waar voor je geld gaan we op zoek naar leuke aanbiedingen of producten met bijzondere eigenschappen. Dit keer hebben we een selectie van vijf 65-inch televisies voor je, met uiteenlopende prijzen van zo'n 800 tot 1.600 euro, voor ieder budget dus.

LG OLED65C46LA

Met de LG OLED65C46LA haal jij een televisie in huis die een groot 65‑inch scherm combineert met de uitstekende contrasten van OLED. Elke pixel kan individueel oplichten of uitstaan, zodat zwarte beelden echt donker worden en er geen achtergrondverlichting nodig is. In de praktijk levert dat scherp beeld en een prettige kijkhoek op, waardoor je zelfs vanuit de hoek van je woonkamer naar films of series kunt kijken. De 4K‑resolutie (3.840 × 2.160 pixels) zorgt ervoor dat ondertitels en fijne details bij natuurdocumentaires of sportwedstrijden scherp blijven.

Dankzij het 120 Hz‑paneel worden snelle bewegingen vloeiend weergegeven, wat vooral bij games of sport handig is. De tv draait op LG’s WebOS‑systeem; daarmee kun je eenvoudig navigeren tussen apps zoals Netflix, Disney+ en YouTube. Vier HDMI 2.1‑poorten bieden ruimte voor gameconsoles en randapparatuur. Ook beschikt de tv over eARC voor het doorgeven van geluid naar een externe soundbar.

Samsung QE65Q73D

Als je graag een groot scherm wilt met levendige kleuren, dan is de Samsung QE65Q73D een model om naar te kijken. Deze QLED‑televisie heeft eveneens een schermdiagonaal van 165 centimeter, maar maakt gebruik van een Quantum‑Dot laag om licht om te zetten in een breed kleurvolume. Hierdoor zijn kleuren uit films, series of games aanwezig zonder dat je zelf iets hoeft bij te stellen. Met een verversingssnelheid van 100 Hz worden bewegingen soepel weergegeven en dankzij de Motion Xcelerator 120 Hz‑functie profiteer je bij gameconsoles die hogere verversingsfrequenties ondersteunen.

De 4K AI‑upscaler in Samsungs Quantum‑processor schaalt beelden op tot de volledige Ultra‑HD‑resolutie, zodat je oudere HD‑films scherper ervaart. Het besturingssysteem Tizen biedt toegang tot apps en streamingdiensten en je kunt via SmartThings andere

slimme apparaten bedienen. Er zijn vier HDMI‑poorten en wifi aan boord en energieklasse E geeft aan dat het verbruik gemiddeld is voor een groot QLED‑scherm.

LG OLED65G45LW

De LG OLED65G45LW uit 2024 is een zogeheten Gallery‑model, bedoeld om strak tegen de muur te hangen. Het scherm is slechts enkele centimeters dik, zodat het toestel in je interieur opgaat. Binnenin zit een OLED evo‑paneel met 4K‑resolutie, waardoor elk beeldpunt individueel wordt aangestuurd en kleurenkrachtig zijn. De televisie ondersteunt een verversingssnelheid van 120 Hz en biedt daardoor vloeiende beelden bij sport of snel bewegende films.

Via vier HDMI‑2.1‑aansluitingen kun je gameconsoles aansluiten en profiteren van variabele refresh rates. WebOS 8 vormt de basis voor het smart‑platform; hiermee navigeer je door apps en diensten en kun je via spraakassistenten als Google Assistant of Amazon Alexa de tv bedienen. De set wordt geleverd met een wandbeugel, zodat hij strak tegen de muur bevestigd kan worden.

LG OLED65B42LA

In de B‑serie van LG vind je de OLED65B42LA, een toestel dat in 2024 op de markt kwam. Deze televisie biedt de voordelen van OLED – elk pixel kan apart aan of uit – maar in een iets betaalbaarder segment dan de G‑ of C‑series. Het 65‑inch scherm combineert een 4K‑resolutie met een verversingssnelheid van 120 Hz. Hierdoor zijn bewegingen bij games of sportprogramma’s soepel en blijven details scherp.

WebOS maakt het mogelijk om streamingapps en live‑tv makkelijk te combineren en je kunt de tv bedienen met de meegeleverde Magic Remote. De televisie heeft vier HDMI‑poorten voor randapparatuur en ondersteunt eARC voor lossless audiotransport naar een soundbar of receiver. Door het slanke ontwerp staat de tv op twee subtiele pootjes of kun je hem aan de muur hangen via een VESA‑beugel.

Sony XR‑65A80L

Sony’s XR‑65A80L combineert een 65‑inch OLED‑scherm met het Google TV‑platform. Hierdoor kun je eenvoudig door streamingapps scrollen en de tv koppelen aan je Google‑account. Het XR‑paneel gebruikt Sony’s Cognitive Processor XR, die beelden analyseert en optimaliseert voor contrast en kleur. Met een vernieuwingsfrequentie van 120 Hz en ondersteuning voor HDMI 2.1 zijn snelle games of films geen probleem; variabele refresh rates en Auto Low Latency worden ondersteund.

De luidsprekers zitten achter het scherm verwerkt zodat het geluid direct uit het beeld lijkt te komen; met ondersteuning voor Dolby Atmos sluit je ook eenvoudig een soundbar aan. Vier HDMI‑poorten, wifi en Bluetooth zorgen voor verbinding met randapparatuur, en via de ingebouwde microfoon kun je spraakopdrachten geven. Dankzij de ingebouwde standaard kun je de tv neerzetten of via VESA aan de muur hangen. Het 55-inch model van deze televisie is eerder door ID.nl getest.