De Stemwijzer is lek. De belangrijke tool waarmee kiezers aan de hand van een aantal stellingen een stemadvies krijgt blijkt last te hebben van privacy- en beveiligingsproblemen. Wat is er de afgelopen 2 dagen nou precies ontdekt?

De ophef over de Stemwijzer is tweeledig. Aan de ene kant ontdekte een beveiligingsonderzoeker dat er meerdere beveiligingslekken in de website zaten, maar er is nog een ander probleem: het is niet erg anoniem. De Stemwijzer maakt namelijk gebruik van een aantal tools van Google, én stuurt ieder antwoord door naar de makers van de wijzer.

De site van de Stemwijzer maakt gebruik van zowel Google Analytics voor het meten van websitebezoek, als van Google AdSense voor het tonen van advertenties.
 

Analytics

Google Analytics draait op een groot aantal websites op internet, en is een gedetailleerde manier om het bezoek van websites te meten. Dat betekent dat Google ook precies weet wie wat aanklikt op de website. Opvallend is daarbij dat de website elke keer een berihtje naar Analytics stuurt als er een keus is gemaakt. Dat betekent dat Google via Analytics precies kan zien welke aparte keuzes stemmers maken.

Google-data is via Analytics grotendeels geanonimiseerd, maar dat wil niet zeggen dat gegevens niet tot de persoon te herleiden zijn. ProDemos zegt zelf ip-adressen door Google te laten anonimiseren, maar dat geldt alleen voor Googles eigen diensten. Dat betekent dat het bedrijf zelf niets met de gegevens mag doen, maar dat kan wel als Google er bijvoorbeeld om gevraagd wordt in een gerechtelijk bevel. Ook zou het kunnen dat berichten onderweg onderschept worden.
 

Google Analytics is nooit écht anoniem

Daar komt bij dat de stemkeuzes nog steeds te koppelen zijn aan een unieke identifier. Als je die van iemand kunt achterhalen, is het in theorie mogelijk zijn keuzes te onderscheppen.
 

Data voor onderzoek gebruikt

Er staat daarnaast een opvallende clausule in het privacybeleid van de StemWijzer: data wordt "geanonimiseerd" gebruikt voor onderzoek. Dat gebeurt dit jaar voor het eerst. Er wordt ruwe data 'met encryptie' opgeslagen, en aangeboden aan de Universiteit van Amsterdam. Volgens de clausule is de data geanonimiseerd is kan niemand achterhalen vanaf welke computer de antwoorden zijn verstuurd.

Dat wordt bevestigd door de vondst van Kloeze, die ook zag dat alle data ná het stemmen wordt teruggestuurd naar de server van ProDemos. "Je kunt je afvragen of dat nodig is", schrijft hij in een post. De hele stemwijzer wordt namelijk al voor je begint ingeladen. "Je kunt dan je computer van het internet ontkoppelen en nog steeds de Stemwijzer gewoon maken".
 

Advertentienetwerken

Er is ook kritiek op de advertentienetwerken die op de site van de Stemwijzer staan. Ook die komen van Google af, en zijn afkomstig van het DoubleClick-netwerk. Volgens de Stemwijzer zijn advertenties nodig om de kosten te betalen, maar sommige critici zijn het daar niet mee eens. Uit een jaarverslag bleek vorig jaar namelijk dat ruim 90% van de kosten van de Stemwijzer door de overheid werd gesubsidieerd. Advertenties beslaan maar een minimaal deel van de inkomsten, en kunnen volgens critici dan ook makkelijk van de site worden gehaald.
 

Resultaten af te lezen

De resultaten zijn makkelijk uit te lezen

Er is echter meer aan de hand met de website. Die is namelijk lek, en de resultaten zijn makkelijk uit te lezen. Er wordt al maanden gewaarschuwd dat de website niet veilig is, al zijn er sinds die tijd ook wel veel maatregelen ingevoerd. Zo ging het verkeer lange tijd niet over SSL, maar is er inmiddels https geïmplementeerd. Toch zijn er nog meer dan genoeg fouten in de website te vinden.

Dat ontdekte beveiligingsonderzoeker Loran Kloeze, die zijn bevindingen op Twitter zette. Dat is niet eens moeiijk, want volgens Kloeze kon dat gewoon met de standaard debugging-tools die in browsers zitten. Een gedetailleerdere beschrijving heeft Kloeze op zijn blog gezet. Waar het op neer komt, is dat het eindresultaat te vinden is in een php-script op de pagina. Met een python-applicatie die Kloeze schreef kon hij onderscheppen welke resultaten uit de Stemwijzer naar voren kwamen. Zo kan hij monitoren welke partijen het vaakst wordt gegeven. Dat is belangrijke informatie, al zegt de organisatie achter de Stemwijzer dat dat geen representatieve weergave is van de uiteindelijke resultaten.
 

Manipuleren van resultaten

Belangrijker is het secundaire bewijs dat de website lek is. Waar Kloeze slechts data kan uitlezen, zijn er ook aanwijzingen dat de data actief gemanipuleerd is. In de broncode is namelijk ergens de variabele "SijmenRuwhofIsEenLul" te zijn, een verwijzing naar de beveiligingsonderzoeker die vorige week met RTL aantoonde dat het verkiezingsproces onveilig is.

Het lijkt erop alsof data ook te manipuleren is

Het lijkt erop dat het via een soort injectie mogelijk is eigen velden aan de Stemwijzer toe te voegen. De website 'Meedogenloos.nl' heeft inmiddels geclaimd die wijziging te hebben gedaan, maar geeft daar verder geen bewijs of uitleg over. Volgens een Tweakers-forumlid is het mogelijk om een JSON-injectie op te site uit te voeren. Dat gebeurt door een kwetsbaarheid in het AJAX-script dat ervoor zorgt dat de resultaten uiteindelijk weer worden teruggestuurd naar de server van ProDemos - opnieuw dat punt waar Kloeze zich al zorgen over maakte.

Reactie van ProDemos

ProDemos heeft inmiddels gereageerd op de aantijgingen. Volgens de organisatie heeft het al enkele maanden contact met het Nationaal Cyber Security Centrum om diverse beveiligingsproblemen op te lossen, maar zijn er sinds de onthullingen van Kloeze nog extra maatregelen genomen. De instantie erkent dat het mogelijk was dat de code 'SimonRuwhofiseenlul' op de site kon komen, maar voegt daar direct aan toe dat het nooit mogelijk is geweest om stemmen te beïnvloeden.

Het gevaar van onveilige stemwijzers

Onveilige stem-tools zijn zeker nu een heet hangijzer

Ondanks die uitspraak is de beveiliging van de website juist nu een belangrijk onderwerp. Security-experts waarschuwen er namelijk al maanden voor dat de beveiliging van de aankomende verkiezingen gevaar loopt. Vorige week ontdekte RTL bijvoorbeeld al dat de software waarmee de stemmen worden geteld lek was, waardoor het van een afstandje mogelijk is die te onderscheppen en zelfs te manipuleren.

Daarnaast onthulde de Nationaal Coördinator Terrorismebestrijding Dick Schoof vorige week dat Rusland diverse inbraakpogingen had gedaan bij het Ministerie van Algemene Zaken, al werd er tijdens die hacks geen data buitgemaakt.

Inmiddels is ook al bekend dat Rusland achter de hacks zat op de Democratic National Committee, de Amerikaanse Democratische Partij waarvan vorig jaar tienduizenden emails naar buiten kwamen. Amerikaanse inlichtingen- en opsporingsdiensten hebben inmiddels geconcludeerd dat Rusland dat deed om de verkiezingen actief te beïnvloeden.

The Duskbloods, de nieuwe game van Elden Ring- en Dark Souls-ontwikkelaar FromSoftware, zal echt alleen op Nintendo Switch 2 uitkomen.

Dat heeft de ontwikkelaar benadrukt bij het bekendmaken van zijn kwartaalcijfers (via VGC). Daarbij werd ook nog eens benadrukt dat The Duskbloods nog altijd gepland staat om ergens dit jaar uit te komen, net zoals de Switch 2-versie van Elden Ring.

Over de exclusieve Switch 2-release van The Duskbloods: "Het wordt verkocht via een samenwerking met Nintendo, met verkoopverantwoordelijkheden verdeeld per regio. De game komt alleen voor Nintendo Switch 2 beschikbaar." Daarmee is dus duidelijk gemaakt dat Nintendo een nauwe samenwerking met FromSoftware is aangegaan voor de game en dat het spel niet zomaar op andere platforms uit zal komen.

Over The Duskbloods

The Duskbloods werd begin vorig jaar aangekondigd in een speciale Nintendo Direct waarin de eerste Switch 2-games werden getoond, maar sindsdien zijn er geen nieuwe beelden van het spel uitgebracht. Zoals gezegd is de game ontwikkeld door FromSoftware, het Japanse bedrijf dat naam voor zichzelf heeft gemaakt met enorm uitdagende spellen, waaronder de Dark Souls-serie en Bloodborne. Met de openwereldgame Elden Ring scoorde de ontwikkelaar enkele jaren geleden nog een megahit.

The Duskbloods wordt een PvPvE-game, waarbij spelers het dus tegen elkaar en tegen computergestuurde vijanden opnemen. Maximaal acht spelers doen aan potjes mee. Na het kiezen van een personage in een hub-gebied wordt men naar een gebied getransporteerd waar er met andere spelers en vijanden gevochten wordt, al kan men soms ook samenwerken om vijanden te verslaan.

Spelers besturen een 'Bloodsworn', wezens die dankzij een speciaal bloed dat in hun lichaam zit meer krachten tot hun beschikking hebben dan reguliere mensen. Ondertussen is het einde van de mensheid nabij, en bestaat de wereld uit verschillende tijdperken, wat voor een mengelmoes van stijlen zorgt.

Resolutie is marketing, refreshrate is beleving. Waar 4K zorgt voor een mooi plaatje, zorgt een hoge verversing (Hz) ervoor dat je daadwerkelijk wint. Hieronder lees je waarom snelheid in feite de échte koning is in gaming.

Veel gamers staren zich blind op 4K-resolutie. Ze kopen een duur scherm, zetten de settings op Ultra en vragen zich vervolgens af waarom hun spel stroperig aanvoelt. De misvatting is dat 'mooier' gelijkstaat aan 'beter'. In werkelijkheid is de vloeibaarheid van het beeld – de refreshrate, oftewel verversingssnelheid – veel bepalender voor hoe direct en responsief een game aanvoelt. Aan het eind van dit artikel weet je precies of jij moet kiezen voor pixels of snelheid.

Hoe je ogen bedrogen worden door Hertz

Stel je voor dat je snel met je muis over je bureaublad beweegt. Op een standaard 60Hz-scherm zie je de cursor in schokjes over het beeld springen; je hersenen vullen de gaten in. Op een 144Hz- of 240Hz-gaming-monitor verdwijnen die gaten.

Het technische verschil zit hem in de verversingssnelheid: het aantal keren per seconde dat het beeld wordt vernieuwd. Bij 60 Hz krijg je elke 16,6 milliseconden een nieuw beeld. Bij 144 Hz is dat elke 6,9 milliseconden. Dat klinkt als een klein verschil, maar je voelt het direct. Het gestotter dat je onbewust gewend bent verdwijnt. Bewegingen voelen boterzacht aan, alsof de cursor (of je crosshair) aan je hand vastgeplakt zit in plaats van er achteraan zwemt. Dit effect wordt motion clarity genoemd: objecten blijven scherp, zelfs als ze snel door het beeld bewegen.

©Framestock

De winst in shooters en snelle actie

Wanneer werkt dit in je voordeel? Vooral in competitieve shooters zoals Call of Duty, Counter-Strike of Valorant. In dit soort games telt elke milliseconde. Een hogere refreshrate vermindert de input lag, oftewel de tijd tussen jouw klik en de actie op het scherm.

Stel, je draait je personage snel om. Bij een lage refreshrate wordt de vijand een fractie later getoond en zie je veel bewegingsonscherpte (motion blur). Met een hoge refreshrate zie je de vijand eerder en scherper, waardoor je sneller kunt reageren. Je hebt letterlijk actuelere informatie dan je tegenstander. Om dat te bereiken heb je wel een krachtige videokaart nodig die genoeg beelden per seconde (FPS) kan genereren om je snelle scherm bij te houden.

Wanneer resolutie het toch wint van snelheid

Is snelheid altijd heilig? Nee. Als je vooral tragere, meer verhalende games speelt (zoals Cyberpunk 2077 in de 'sightseeing' modus), Microsoft Flight Simulator of grafische RPG's, dan voegt 240 Hz weinig toe. In deze titels kijk je vaak naar stilstaande of langzaam bewegende omgevingen.

In dat geval wil je juist de texturen van de bomen, de reflecties in het water en de details in gezichten zien. Een 4K-monitor op 60 of 120 Hz is dan een logischer keuze dan een onscherp 1080p-scherm op 360 Hz. De visuele pracht weegt hier zwaarder dan de milliseconden reactietijd. Ook voor console-gamers die op de bank zitten, is een goede televisie met 4K en HDR vaak indrukwekkender dan puur de hoogste framerates.

Situaties waarin een hoge refreshrate zinloos is

Er zijn momenten dat investeren in een snel scherm weggegooid geld is. Dat gebeurt bijvoorbeeld als je hardware de snelheid niet kan leveren; als je videokaart maar 50 frames per seconde kan leveren, heeft een 144Hz-scherm geen nut omdat het scherm wacht op de computer. Daarnaast beperken oude kabels je bandbreedte, waardoor je monitor soms terugvalt naar 60 Hz zonder dat je het doorhebt. Ook op oudere consoles zoals de Nintendo Switch of de standaard PS4 heb je niets aan snelle schermen, omdat deze hardware fysiek gelimiteerd is op 60 Hz of lager.

Bepaal wat jouw setup aankan

Kijk dus kritisch naar je huidige situatie voordat je naar de winkel rent. Heb je een high-end pc die makkelijk 120+ FPS haalt in jouw favoriete games? Dan is een upgrade naar een 144- of 165Hz-monitor de grootste sprong in spelplezier die je kunt maken. Speel je op een PlayStation 5 of Xbox Series X? Zoek dan specifiek naar een scherm met HDMI 2.1-ondersteuning om 120 Hz op 4K mogelijk te maken. Zit je ver van je scherm af en speel je relaxed? Investeer dan liever in resolutie en kleurdiepte.

©Proxima Studio

Kortom: snelheid is de sleutel tot succes!

Verversingssnelheid is belangrijker dan resolutie voor iedereen die actie- of competitieve games speelt. Het zorgt voor een vloeiender beeld, minder input lag en betere motion clarity, wat je direct een voordeel geeft in het spel. Resolutie is vooral luxe voor het oog, maar refreshrate is pure prestatie voor de speler.