De Stemwijzer is lek. De belangrijke tool waarmee kiezers aan de hand van een aantal stellingen een stemadvies krijgt blijkt last te hebben van privacy- en beveiligingsproblemen. Wat is er de afgelopen 2 dagen nou precies ontdekt?

De ophef over de Stemwijzer is tweeledig. Aan de ene kant ontdekte een beveiligingsonderzoeker dat er meerdere beveiligingslekken in de website zaten, maar er is nog een ander probleem: het is niet erg anoniem. De Stemwijzer maakt namelijk gebruik van een aantal tools van Google, én stuurt ieder antwoord door naar de makers van de wijzer.

De site van de Stemwijzer maakt gebruik van zowel Google Analytics voor het meten van websitebezoek, als van Google AdSense voor het tonen van advertenties.
 

Analytics

Google Analytics draait op een groot aantal websites op internet, en is een gedetailleerde manier om het bezoek van websites te meten. Dat betekent dat Google ook precies weet wie wat aanklikt op de website. Opvallend is daarbij dat de website elke keer een berihtje naar Analytics stuurt als er een keus is gemaakt. Dat betekent dat Google via Analytics precies kan zien welke aparte keuzes stemmers maken.

Google-data is via Analytics grotendeels geanonimiseerd, maar dat wil niet zeggen dat gegevens niet tot de persoon te herleiden zijn. ProDemos zegt zelf ip-adressen door Google te laten anonimiseren, maar dat geldt alleen voor Googles eigen diensten. Dat betekent dat het bedrijf zelf niets met de gegevens mag doen, maar dat kan wel als Google er bijvoorbeeld om gevraagd wordt in een gerechtelijk bevel. Ook zou het kunnen dat berichten onderweg onderschept worden.
 

Google Analytics is nooit écht anoniem

Daar komt bij dat de stemkeuzes nog steeds te koppelen zijn aan een unieke identifier. Als je die van iemand kunt achterhalen, is het in theorie mogelijk zijn keuzes te onderscheppen.
 

Data voor onderzoek gebruikt

Er staat daarnaast een opvallende clausule in het privacybeleid van de StemWijzer: data wordt "geanonimiseerd" gebruikt voor onderzoek. Dat gebeurt dit jaar voor het eerst. Er wordt ruwe data 'met encryptie' opgeslagen, en aangeboden aan de Universiteit van Amsterdam. Volgens de clausule is de data geanonimiseerd is kan niemand achterhalen vanaf welke computer de antwoorden zijn verstuurd.

Dat wordt bevestigd door de vondst van Kloeze, die ook zag dat alle data ná het stemmen wordt teruggestuurd naar de server van ProDemos. "Je kunt je afvragen of dat nodig is", schrijft hij in een post. De hele stemwijzer wordt namelijk al voor je begint ingeladen. "Je kunt dan je computer van het internet ontkoppelen en nog steeds de Stemwijzer gewoon maken".
 

Advertentienetwerken

Er is ook kritiek op de advertentienetwerken die op de site van de Stemwijzer staan. Ook die komen van Google af, en zijn afkomstig van het DoubleClick-netwerk. Volgens de Stemwijzer zijn advertenties nodig om de kosten te betalen, maar sommige critici zijn het daar niet mee eens. Uit een jaarverslag bleek vorig jaar namelijk dat ruim 90% van de kosten van de Stemwijzer door de overheid werd gesubsidieerd. Advertenties beslaan maar een minimaal deel van de inkomsten, en kunnen volgens critici dan ook makkelijk van de site worden gehaald.
 

Resultaten af te lezen

De resultaten zijn makkelijk uit te lezen

Er is echter meer aan de hand met de website. Die is namelijk lek, en de resultaten zijn makkelijk uit te lezen. Er wordt al maanden gewaarschuwd dat de website niet veilig is, al zijn er sinds die tijd ook wel veel maatregelen ingevoerd. Zo ging het verkeer lange tijd niet over SSL, maar is er inmiddels https geïmplementeerd. Toch zijn er nog meer dan genoeg fouten in de website te vinden.

Dat ontdekte beveiligingsonderzoeker Loran Kloeze, die zijn bevindingen op Twitter zette. Dat is niet eens moeiijk, want volgens Kloeze kon dat gewoon met de standaard debugging-tools die in browsers zitten. Een gedetailleerdere beschrijving heeft Kloeze op zijn blog gezet. Waar het op neer komt, is dat het eindresultaat te vinden is in een php-script op de pagina. Met een python-applicatie die Kloeze schreef kon hij onderscheppen welke resultaten uit de Stemwijzer naar voren kwamen. Zo kan hij monitoren welke partijen het vaakst wordt gegeven. Dat is belangrijke informatie, al zegt de organisatie achter de Stemwijzer dat dat geen representatieve weergave is van de uiteindelijke resultaten.
 

Manipuleren van resultaten

Belangrijker is het secundaire bewijs dat de website lek is. Waar Kloeze slechts data kan uitlezen, zijn er ook aanwijzingen dat de data actief gemanipuleerd is. In de broncode is namelijk ergens de variabele "SijmenRuwhofIsEenLul" te zijn, een verwijzing naar de beveiligingsonderzoeker die vorige week met RTL aantoonde dat het verkiezingsproces onveilig is.

Het lijkt erop alsof data ook te manipuleren is

Het lijkt erop dat het via een soort injectie mogelijk is eigen velden aan de Stemwijzer toe te voegen. De website 'Meedogenloos.nl' heeft inmiddels geclaimd die wijziging te hebben gedaan, maar geeft daar verder geen bewijs of uitleg over. Volgens een Tweakers-forumlid is het mogelijk om een JSON-injectie op te site uit te voeren. Dat gebeurt door een kwetsbaarheid in het AJAX-script dat ervoor zorgt dat de resultaten uiteindelijk weer worden teruggestuurd naar de server van ProDemos - opnieuw dat punt waar Kloeze zich al zorgen over maakte.

Reactie van ProDemos

ProDemos heeft inmiddels gereageerd op de aantijgingen. Volgens de organisatie heeft het al enkele maanden contact met het Nationaal Cyber Security Centrum om diverse beveiligingsproblemen op te lossen, maar zijn er sinds de onthullingen van Kloeze nog extra maatregelen genomen. De instantie erkent dat het mogelijk was dat de code 'SimonRuwhofiseenlul' op de site kon komen, maar voegt daar direct aan toe dat het nooit mogelijk is geweest om stemmen te beïnvloeden.

Het gevaar van onveilige stemwijzers

Onveilige stem-tools zijn zeker nu een heet hangijzer

Ondanks die uitspraak is de beveiliging van de website juist nu een belangrijk onderwerp. Security-experts waarschuwen er namelijk al maanden voor dat de beveiliging van de aankomende verkiezingen gevaar loopt. Vorige week ontdekte RTL bijvoorbeeld al dat de software waarmee de stemmen worden geteld lek was, waardoor het van een afstandje mogelijk is die te onderscheppen en zelfs te manipuleren.

Daarnaast onthulde de Nationaal Coördinator Terrorismebestrijding Dick Schoof vorige week dat Rusland diverse inbraakpogingen had gedaan bij het Ministerie van Algemene Zaken, al werd er tijdens die hacks geen data buitgemaakt.

Inmiddels is ook al bekend dat Rusland achter de hacks zat op de Democratic National Committee, de Amerikaanse Democratische Partij waarvan vorig jaar tienduizenden emails naar buiten kwamen. Amerikaanse inlichtingen- en opsporingsdiensten hebben inmiddels geconcludeerd dat Rusland dat deed om de verkiezingen actief te beïnvloeden.

De taakbalk is ook in Windows 11 de plaats waar je je favoriete apps vastmaakt. Wist je dat het zelfs mogelijk is om mappen die je vaak gebruikt toe te voegen? Handig als je regelmatig dezelfde mappen nodig hebt, zoals Downloads of een projectmap. Op die manier hoef je niet eerst langs de Verkenner en open je de map met slechts één klik.

Maak een snelkoppeling van de map

Als je zomaar een map op de taakbalk probeert te slepen, zul je merken dat je de map op die manier niet kunt vastmaken. Eerst moet je een snelkoppeling op het bureaublad plaatsen. Klik daarom met de rechtermuisknop op een lege plek van het bureaublad en kies in het contextmenu de opdracht Nieuw / Snelkoppeling. In de pop-up Snelkoppeling maken moet je eerst de locatie van het item opgeven. Klik hiervoor op Bladeren en navigeer naar de map die je straks wilt vastmaken. Dit werkt met iedere lokale map, maar ook met mappen die op OneDrive staan. Selecteer de gewenste map. De locatie verschijnt vervolgens in het locatieveld van de nieuwe snelkoppeling.

Voeg explorer.exe toe

In dit veld moet je nog een aanpassing doen: typ vóór het pad naar de map explorer.exe gevolgd door een spatie. Het pad naar de map zelf plaats je tussen aanhalingstekens. De locatie van de map Downloads wordt dan bijvoorbeeld explorer.exe "C:\Users\username\Downloads" en van de map Muziek: explorer.exe "C:\Users\username\Muziek". Vervang uiteraard username door je eigen gebruikersnaam in Windows. Klik daarna op Volgende en geef de snelkoppeling een duidelijke naam. Rond af met Voltooien.

Aan de taakbalk vastmaken

Klik daarna opnieuw met de rechtermuisknop op de nieuwe snelkoppeling. In het menu kies je Meer opties weergeven en vervolgens Aan taakbalk vastmaken. Vanaf nu staat de map netjes op de taakbalk. Als je met de muis over het pictogram beweegt, verschijnt de naam van de map. Klik je erop, dan wordt de map geopend in Windows Verkenner. Wil je de map later weer losmaken van de taakbalk, klik dan met de rechtermuisknop op het pictogram en kies Van taakbalk losmaken.

Ieder jaar schakelen duizenden mensen in voor de Super Bowl - de afsluiting van het Amerikaanse Football-seizoen. Het draait alleen niet voor iedereen om de sport. Nee, in de pauze wordt de uitzending namelijk overladen met trailers van aankomende films, series en absurde advertenties met verschillende beroemdheden. Afgelopen nacht was het weer raak, dus wij hebben de trailers en grappigste advertenties voor je op een rij gezet.

The Mandalorian and Grogu eert Super Bowl-advertenties

Star Wars is inmiddels al bijna zeven afwezig in de bioscopen, maar op 20 mei van dit jaar komt daar eindelijk verandering in. Din Djarin en Grogu uit de Disney+-serie The Mandalorian maken hun debuut op het witte doek. In de film werkt de titulaire Mandalorian samen met de New Republic om de restanten van het kwaadaardige Galactic Empire op te ruimen, terwijl zijn adoptieve zoontje Grogu - Baby Yoda in de volksmond - om leert gaan met zijn magische Force-krachten. Tijdens de Super Bowl werd een korte promotievideo getoond, die net als de film geregisseerd is door Jon Favreau en lijkt een hommage aan klassieke Super Bowl-advertenties voor trucks en bier te zijn.

The Super Mario Galaxy Movie refereert aan Super Mario Odyssey

Nintendo was ook aanwezig tijdens de Super Bowl, met een korte teaser van The Super Mario Galaxy Movie - mede geproduceerd door de animatiestudio Illumination. In de teaser zien we babyversies van Mario en Luigi samen met Toad en Yoshi, en een T-Rex in een oerwoud. Naast dat de dinosaurus erg vergelijkbaar met de T-Rex uit Jurassic Park klinkt, is dit tafereel ook een referentie naar een moment Super Mario Odyssey. Daarin kan de speler controle nemen over eenzelfde soort dino. Hoewel de Super Mario Galaxy Movie vernoemd is naar de games die zich voornamelijk in de ruimte afspelen, haalt de film dus ook elementen uit andere Mario-games aan. Vanaf 1 april is de film te zien. 

Disclosure Day toont paranoia en hint naar aliens

Steven Spielberg is terug met een nieuwe sciencefictionfilm in Disclosure Day, met een sterk geladen cast in Josh O’Conner, Emily Blunt, Colin Firth, Colman Domingo en Eve Hewson. De film lijkt te gaan over het bestaan van aliens, dat langzaam maar zeker bekend wordt voor de mensen op aarde. Sommigen, met meer kennis over de zaak, willen het bestaan van de buitenaardse wezens echter in één klap aan de wereld bekendmaken. Disclosure Day draait vanaf 12 juni in de bioscoop. 

Zie Brad Pitt in The Adventures of Cliff Booth

Quentin Tarantino is bijna toe aan het maken van zijn laatste film, maar personages die hij eerder heeft gemaakt worden nog onder handen genomen door andere creatievelingen. David Fincher bijvoorbeeld, die een Netflix-serie rondom het personage Cliff Booth uit Once Upon a Time In Hollywood regisseert op basis van scripts die zijn geschreven door Tarantino. De serie speelt zich na de gebeurtenissen van de film af, en Brad Pitt kruipt weer in de rol van Booth - een stuntman in Hollywood die nu in de penarie zit.

Minions and Monsters komt ook dit jaar 

De inmiddels iconische gele mannetjes uit de Despicable Me-films zijn ook terug voor een nieuwe ‘solo’-film, al is Minions and Monsters niet per se een vervolg op de eerste twee Minions-films. In dit deel werkt een groep minions als monsters op een filmset, totdat ze het idee krijgen om zelf een monsterfilm te maken. Het enige probleem is dat ze geen monsters hebben, dus daar gaan ze naar op zoek in de vorm van onder andere een mini-Cthulhu, een mummie en meer. De film van Illumination komt op 1 juli uit in de bioscoop, maar vier maanden nadat de studio ook The Super Mario Galaxy Movie aanlevert. 

Laatste trailer van Project Hail Mary is geland

Phil Lord en Christopher Miller, het regieduo dat onder andere bekendstaat om hun werk aan de Spider-Verse-films, komt dit jaar ook met een spiksplinternieuwe blockbuster. Project Hail Mary is een sciencefictionverhaal gebaseerd op het gelijknamige boek van Andy Weir - tevens de schrijver van The Martian, waar in 2015 ook een film van uitkwam. Deze laatste trailer toont onder andere meer van de relatie tussen Ryan Goslings personage en een alien genaamd Rocky, alsmede verschillende kleurrijke shots in de ruimte. Goed om te benoemen is dat de cinematografie van de film verzorgd is door Greig Fraser, die bekendstaat om het in beeld brengen van The Batman en Denis Villeneuve’s Dune-films. 

Meer teasers voor Supergirl, Scream 7 en Hoppers

Dan zijn er tijdens de Super Bowl ook nog korte teasers uitgebracht voor de aankomende Pixar-film Hoppers en de horrorfranchise Scream, die inmiddels toe is aan een zevende deel. Ook werd een nieuwe teaser voor Supergirl uitgebracht tijdens de Puppy Bowl - een soort parodie op de Super Bowl, maar met honden. 

Deze advertenties werden getoond tijdens de Super Bowl

De terugkeer van Jurassic Park met Xfinity

Het telecombedrijf Xfinity heeft voor de Super Bowl een promotievideo geproduceerd waarin Sam Neill, Jeff Goldblum en Laura Dern hun respectievelijke rollen van Alan Grant, Ian Malcolm en Ellie Sadler uit Jurassic Park weer vertolken. Ze spelen daarin verschillende scènes uit die film na, en ogen met behulp van de-aging-technologie jonger. 

Beroemdheden vieren Pokémons dertigste verjaardag

In een speciale promotievideo voor de dertigste verjaardag van de Pokémon-franchise dit jaar hebben verschillende bekendheden als Lady Gaga, Trevor Noah, Charles Leclerc en K-Pop-ster Jisoo het over hun favoriete Pokémon.

Ben Affleck doet een parodie op Good Will Hunting

Acteur Ben Affleck zet in 2026 zijn samenwerking met Dunkin’ Donuts ook door, dit jaar door Good Will Hunting - de film waarmee hij samen met Matt Damon doorbrak - op de hak te zetten. De promovideo is geschoten als een sitcom genaamd Good Will Dunkin’, en toont Affleck met andere bekende sitcom-acteurs als Jennifer Anniston, Matt Leblanc en Alfonso Ribiero