De Stemwijzer is lek. De belangrijke tool waarmee kiezers aan de hand van een aantal stellingen een stemadvies krijgt blijkt last te hebben van privacy- en beveiligingsproblemen. Wat is er de afgelopen 2 dagen nou precies ontdekt?

De ophef over de Stemwijzer is tweeledig. Aan de ene kant ontdekte een beveiligingsonderzoeker dat er meerdere beveiligingslekken in de website zaten, maar er is nog een ander probleem: het is niet erg anoniem. De Stemwijzer maakt namelijk gebruik van een aantal tools van Google, én stuurt ieder antwoord door naar de makers van de wijzer.

De site van de Stemwijzer maakt gebruik van zowel Google Analytics voor het meten van websitebezoek, als van Google AdSense voor het tonen van advertenties.
 

Analytics

Google Analytics draait op een groot aantal websites op internet, en is een gedetailleerde manier om het bezoek van websites te meten. Dat betekent dat Google ook precies weet wie wat aanklikt op de website. Opvallend is daarbij dat de website elke keer een berihtje naar Analytics stuurt als er een keus is gemaakt. Dat betekent dat Google via Analytics precies kan zien welke aparte keuzes stemmers maken.

Google-data is via Analytics grotendeels geanonimiseerd, maar dat wil niet zeggen dat gegevens niet tot de persoon te herleiden zijn. ProDemos zegt zelf ip-adressen door Google te laten anonimiseren, maar dat geldt alleen voor Googles eigen diensten. Dat betekent dat het bedrijf zelf niets met de gegevens mag doen, maar dat kan wel als Google er bijvoorbeeld om gevraagd wordt in een gerechtelijk bevel. Ook zou het kunnen dat berichten onderweg onderschept worden.
 

Google Analytics is nooit écht anoniem

Daar komt bij dat de stemkeuzes nog steeds te koppelen zijn aan een unieke identifier. Als je die van iemand kunt achterhalen, is het in theorie mogelijk zijn keuzes te onderscheppen.
 

Data voor onderzoek gebruikt

Er staat daarnaast een opvallende clausule in het privacybeleid van de StemWijzer: data wordt "geanonimiseerd" gebruikt voor onderzoek. Dat gebeurt dit jaar voor het eerst. Er wordt ruwe data 'met encryptie' opgeslagen, en aangeboden aan de Universiteit van Amsterdam. Volgens de clausule is de data geanonimiseerd is kan niemand achterhalen vanaf welke computer de antwoorden zijn verstuurd.

Dat wordt bevestigd door de vondst van Kloeze, die ook zag dat alle data ná het stemmen wordt teruggestuurd naar de server van ProDemos. "Je kunt je afvragen of dat nodig is", schrijft hij in een post. De hele stemwijzer wordt namelijk al voor je begint ingeladen. "Je kunt dan je computer van het internet ontkoppelen en nog steeds de Stemwijzer gewoon maken".
 

Advertentienetwerken

Er is ook kritiek op de advertentienetwerken die op de site van de Stemwijzer staan. Ook die komen van Google af, en zijn afkomstig van het DoubleClick-netwerk. Volgens de Stemwijzer zijn advertenties nodig om de kosten te betalen, maar sommige critici zijn het daar niet mee eens. Uit een jaarverslag bleek vorig jaar namelijk dat ruim 90% van de kosten van de Stemwijzer door de overheid werd gesubsidieerd. Advertenties beslaan maar een minimaal deel van de inkomsten, en kunnen volgens critici dan ook makkelijk van de site worden gehaald.
 

Resultaten af te lezen

De resultaten zijn makkelijk uit te lezen

Er is echter meer aan de hand met de website. Die is namelijk lek, en de resultaten zijn makkelijk uit te lezen. Er wordt al maanden gewaarschuwd dat de website niet veilig is, al zijn er sinds die tijd ook wel veel maatregelen ingevoerd. Zo ging het verkeer lange tijd niet over SSL, maar is er inmiddels https geïmplementeerd. Toch zijn er nog meer dan genoeg fouten in de website te vinden.

Dat ontdekte beveiligingsonderzoeker Loran Kloeze, die zijn bevindingen op Twitter zette. Dat is niet eens moeiijk, want volgens Kloeze kon dat gewoon met de standaard debugging-tools die in browsers zitten. Een gedetailleerdere beschrijving heeft Kloeze op zijn blog gezet. Waar het op neer komt, is dat het eindresultaat te vinden is in een php-script op de pagina. Met een python-applicatie die Kloeze schreef kon hij onderscheppen welke resultaten uit de Stemwijzer naar voren kwamen. Zo kan hij monitoren welke partijen het vaakst wordt gegeven. Dat is belangrijke informatie, al zegt de organisatie achter de Stemwijzer dat dat geen representatieve weergave is van de uiteindelijke resultaten.
 

Manipuleren van resultaten

Belangrijker is het secundaire bewijs dat de website lek is. Waar Kloeze slechts data kan uitlezen, zijn er ook aanwijzingen dat de data actief gemanipuleerd is. In de broncode is namelijk ergens de variabele "SijmenRuwhofIsEenLul" te zijn, een verwijzing naar de beveiligingsonderzoeker die vorige week met RTL aantoonde dat het verkiezingsproces onveilig is.

Het lijkt erop alsof data ook te manipuleren is

Het lijkt erop dat het via een soort injectie mogelijk is eigen velden aan de Stemwijzer toe te voegen. De website 'Meedogenloos.nl' heeft inmiddels geclaimd die wijziging te hebben gedaan, maar geeft daar verder geen bewijs of uitleg over. Volgens een Tweakers-forumlid is het mogelijk om een JSON-injectie op te site uit te voeren. Dat gebeurt door een kwetsbaarheid in het AJAX-script dat ervoor zorgt dat de resultaten uiteindelijk weer worden teruggestuurd naar de server van ProDemos - opnieuw dat punt waar Kloeze zich al zorgen over maakte.

Reactie van ProDemos

ProDemos heeft inmiddels gereageerd op de aantijgingen. Volgens de organisatie heeft het al enkele maanden contact met het Nationaal Cyber Security Centrum om diverse beveiligingsproblemen op te lossen, maar zijn er sinds de onthullingen van Kloeze nog extra maatregelen genomen. De instantie erkent dat het mogelijk was dat de code 'SimonRuwhofiseenlul' op de site kon komen, maar voegt daar direct aan toe dat het nooit mogelijk is geweest om stemmen te beïnvloeden.

Het gevaar van onveilige stemwijzers

Onveilige stem-tools zijn zeker nu een heet hangijzer

Ondanks die uitspraak is de beveiliging van de website juist nu een belangrijk onderwerp. Security-experts waarschuwen er namelijk al maanden voor dat de beveiliging van de aankomende verkiezingen gevaar loopt. Vorige week ontdekte RTL bijvoorbeeld al dat de software waarmee de stemmen worden geteld lek was, waardoor het van een afstandje mogelijk is die te onderscheppen en zelfs te manipuleren.

Daarnaast onthulde de Nationaal Coördinator Terrorismebestrijding Dick Schoof vorige week dat Rusland diverse inbraakpogingen had gedaan bij het Ministerie van Algemene Zaken, al werd er tijdens die hacks geen data buitgemaakt.

Inmiddels is ook al bekend dat Rusland achter de hacks zat op de Democratic National Committee, de Amerikaanse Democratische Partij waarvan vorig jaar tienduizenden emails naar buiten kwamen. Amerikaanse inlichtingen- en opsporingsdiensten hebben inmiddels geconcludeerd dat Rusland dat deed om de verkiezingen actief te beïnvloeden.

Energieopslag stond lang gelijk aan een technische puzzel van losse kastjes en kabels. De Hoymiles HiOne rekent daar definitief mee af. Dit systeem integreert krachtige prestaties in één strakke, modulaire zuil die gezien mag worden. Ben jij klaar voor de volgende stap in energieonafhankelijkheid? Wij doken in de specificaties van deze stille krachtpatser.

Partnerbijdrage - in samenwerking met Hoymiles

Geen kabelbrij, maar strak design

Wie zijn garage of technische ruimte netjes wil houden, zit niet te wachten op een wirwar van kastjes en leidingen. De HiOne lost dit op met een slim modulair ontwerp. De installateur stapelt de batterij- en omvormermodules simpelweg op elkaar.

Het unieke hieraan is dat alle verbindingen intern lopen. Aan de buitenkant zie je dus geen kabels, wat zorgt voor een rustig en 'afgewerkt' beeld. De behuizing voelt niet aan als goedkoop plastic, maar als een solide apparaat dat tegen een stootje kan. Dankzij de IP66-certificering (water- en stofdicht) is het systeem zelfs robuust genoeg om buiten onder een overkapping geplaatst te worden, mocht je binnen ruimte willen besparen.

Klaar voor de moderne grootverbruiker

Dit systeem is specifiek ontworpen om de energiehonger van het moderne, duurzame gezin te stillen. Heb je een warmtepomp, een elektrische auto of een druk huishouden? Dan is de HiOne in zijn element.

De huidige line-up van de HiOne is geoptimaliseerd voor woningen met een 3-fase aansluiting (ondersteuning tot 33,3 A per fase), maar ook 1-fase varianten staan op de planning. Dit maakt het systeem enorm veelzijdig. Waar lichtere systemen vaak moeite hebben om meerdere zware apparaten tegelijk van stroom te voorzien, levert de HiOne onverstoorbaar door. De echte meerwaarde zit in de onafhankelijkheid. Dankzij de 'whole-home backup'-functie kan het systeem bij stroomuitval het hele huis draaiende houden. Dus niet alleen de wifi en de koelkast, maar ook het koken en verwarmen gaan gewoon door.

©Hoymiles / Jeroen Keep

Het brein: AI en dynamische tarieven

Een batterij is tegenwoordig meer dan een opslagvat; het is een slimme handelscomputer. De HiOne wordt aangestuurd door de S-Miles Cloud, een platform dat verder kijkt dan alleen 'vol' of 'leeg'. Met de ingebouwde 'Time-of-Use' modus kan het systeem slim inspelen op energietarieven.

Heb je een dynamisch energiecontract? Dan kan de software automatisch laden als de stroom goedkoop (of zelfs gratis) is en terugleveren of ontladen als de prijzen pieken. Zo verdien je de investering niet alleen terug door eigen gebruik, maar ook door slim te handelen op de energiemarkt. Bovendien leert het systeem jouw verbruikspatronen kennen, zodat er altijd voldoende buffer is voor jouw specifieke situatie.

Geen DIY, maar professionele zekerheid

Het is belangrijk om te benadrukken dat de HiOne geen doe-het-zelfproject is, zoals een eenvoudige balkon-set. Dit is hoogwaardige infrastructuur die naadloos geïntegreerd wordt in je meterkast en woning. Je koopt dit systeem dan ook via een gecertificeerde installateur.

Voor de consument is dat een groot voordeel: je hoeft je niet druk te maken over de techniek. De vakman zorgt dat de zuil op de juiste plek komt te staan, regelt de koppeling met je zonnepanelen en zorgt dat alles veilig draait. Jij bedient het systeem vervolgens simpelweg via de app.

Om deze krachtpatser veilig te houden, is een 5-laags veiligheidssysteem ingebouwd. Dit varieert van speciale drukkleppen en aerogel-isolatie tussen de cellen tot een actieve brandonderdrukkingsmodule die in noodsituaties binnen enkele seconden reageert. Daarnaast wordt de temperatuur op negen punten per cel continu gemonitord.

©Hoymiles / Jeroen Keep

Toekomstmuziek: je auto als batterij

Misschien wel het meest interessante aspect voor EV-rijders is de voorbereiding op V2X (Vehicle-to-Everything). Hoymiles heeft aangekondigd dat er een specifieke V2X-module aankomt voor de HiOne. Hiermee wordt het in de toekomst mogelijk om de enorme accu van je elektrische auto te koppelen aan je thuisbatterij. Je auto fungeert dan als een soort super-accu voor je huis, terwijl de HiOne de regie voert. Daarmee is dit systeem niet alleen een oplossing voor nu, maar ook een voorbereiding op de volgende stap in de energietransitie.

Conclusie

De Hoymiles HiOne is een premium keuze voor huiseigenaren die verder kijken. Het systeem combineert een strak design met de brute kracht die nodig is voor een huis vol warmtepompen en EV's. Door te kiezen voor een professioneel geïnstalleerd systeem met 5-voudige beveiliging en slimme AI-software, haal je niet alleen een batterij in huis, maar een complete energiemanager die klaar is voor de toekomst.

De acteur die de belangrijke rol van Atreus gaat vertolken in de aankomende televisieserie gebaseerd op God of War is bekend. Het gaat om Callum Vinson.

Vinson heeft eerder rollen in The Night Agent en Chucky gehad. Met de bevestiging dat hij de rol van Atreus gaat spelen, zijn de acteurs voor de meeste belangrijke rollen in de aankomende Amazon Prime Video-serie bekend.

Afgelopen januari werd al onthuld wie de rol van hoofdpersonage Kratos gaat spelen. Dat is Ryan Hurst, bekend voor zijn rol in Sons of Anarchy. In de game God of War Ragnarök speelde hij daarnaast de rol van Thor. In de tv-serie zal hij dus van rol wisselen.

God of War volgt vader Kratos en zijn tienjarige zoon Atreus op hun reis om het as van hun vrouw en moeder Faye te verspreiden. Gedurende hun avonturen probeert Kratos zijn zoon te leren om een betere god te zijn, terwijl Atreus probeert van zijn vader een beter mens te maken.

Over de God of War-televisieserie

De tv-serie gaat in ieder geval de laatste twee hoofddelen in de God of War-reeks verfilmen, God of War (2018) en God of War Ragnarök. Die games, uitgekomen op PlayStation 4, PlayStation 5 en later ook pc, wisselden de Griekse setting uit de vroegere delen in voor een Noordse mythologische setting, inclusief de aanwezigheid van Noordse goden.

Sony en Amazon kondigden in 2022 aan dat er een tv-serie rondom God of War zou komen. Afgelopen jaar werd ook bekendgemaakt dat er minstens twee seizoenen gemaakt zullen worden. Voordat het zover is, moet natuurlijk het eerste seizoen uitkomen op Amazon Prime Video, maar dat kan nog wel even duren: de opnames gaan als het goed is in de loop van deze maand van start. Frederick E.O. Toye, bekend van onder andere The Boys en Fallout, zal de eerste twee afleveringen regisseren.

Andere acteurs in de serie

Eerder werd al bevestigd dat Max Parker - bekend van Boots en Vampire Academy - de rol van Heimdall gaat spelen en Teresa Palmer (Hacksaw Ridge) in de huid van Sif - Thors vrouw - kruipt. De rol van Odin wordt gespeeld door Mandy Patinkin - onder andere bekend van Homeland en the Princess Bride.

Ólafur Darri Ólafsson - die vooral bekend is voor zijn rol als Mr. Drummond in de Apple TV-serie Severance, gaat de rol van Thor vertolken. Alastair Duncan zal de rol van Mimir spelen. Hij speelde ook al de rol van Mimir in de God of War-games. Danny Woodburn en Jeff Gulka zullen de rollen van de broers Brok en Sindri vertolken.