De Stemwijzer is lek. De belangrijke tool waarmee kiezers aan de hand van een aantal stellingen een stemadvies krijgt blijkt last te hebben van privacy- en beveiligingsproblemen. Wat is er de afgelopen 2 dagen nou precies ontdekt?

De ophef over de Stemwijzer is tweeledig. Aan de ene kant ontdekte een beveiligingsonderzoeker dat er meerdere beveiligingslekken in de website zaten, maar er is nog een ander probleem: het is niet erg anoniem. De Stemwijzer maakt namelijk gebruik van een aantal tools van Google, én stuurt ieder antwoord door naar de makers van de wijzer.

De site van de Stemwijzer maakt gebruik van zowel Google Analytics voor het meten van websitebezoek, als van Google AdSense voor het tonen van advertenties.
 

Analytics

Google Analytics draait op een groot aantal websites op internet, en is een gedetailleerde manier om het bezoek van websites te meten. Dat betekent dat Google ook precies weet wie wat aanklikt op de website. Opvallend is daarbij dat de website elke keer een berihtje naar Analytics stuurt als er een keus is gemaakt. Dat betekent dat Google via Analytics precies kan zien welke aparte keuzes stemmers maken.

Google-data is via Analytics grotendeels geanonimiseerd, maar dat wil niet zeggen dat gegevens niet tot de persoon te herleiden zijn. ProDemos zegt zelf ip-adressen door Google te laten anonimiseren, maar dat geldt alleen voor Googles eigen diensten. Dat betekent dat het bedrijf zelf niets met de gegevens mag doen, maar dat kan wel als Google er bijvoorbeeld om gevraagd wordt in een gerechtelijk bevel. Ook zou het kunnen dat berichten onderweg onderschept worden.
 

Google Analytics is nooit écht anoniem

Daar komt bij dat de stemkeuzes nog steeds te koppelen zijn aan een unieke identifier. Als je die van iemand kunt achterhalen, is het in theorie mogelijk zijn keuzes te onderscheppen.
 

Data voor onderzoek gebruikt

Er staat daarnaast een opvallende clausule in het privacybeleid van de StemWijzer: data wordt "geanonimiseerd" gebruikt voor onderzoek. Dat gebeurt dit jaar voor het eerst. Er wordt ruwe data 'met encryptie' opgeslagen, en aangeboden aan de Universiteit van Amsterdam. Volgens de clausule is de data geanonimiseerd is kan niemand achterhalen vanaf welke computer de antwoorden zijn verstuurd.

Dat wordt bevestigd door de vondst van Kloeze, die ook zag dat alle data ná het stemmen wordt teruggestuurd naar de server van ProDemos. "Je kunt je afvragen of dat nodig is", schrijft hij in een post. De hele stemwijzer wordt namelijk al voor je begint ingeladen. "Je kunt dan je computer van het internet ontkoppelen en nog steeds de Stemwijzer gewoon maken".
 

Advertentienetwerken

Er is ook kritiek op de advertentienetwerken die op de site van de Stemwijzer staan. Ook die komen van Google af, en zijn afkomstig van het DoubleClick-netwerk. Volgens de Stemwijzer zijn advertenties nodig om de kosten te betalen, maar sommige critici zijn het daar niet mee eens. Uit een jaarverslag bleek vorig jaar namelijk dat ruim 90% van de kosten van de Stemwijzer door de overheid werd gesubsidieerd. Advertenties beslaan maar een minimaal deel van de inkomsten, en kunnen volgens critici dan ook makkelijk van de site worden gehaald.
 

Resultaten af te lezen

De resultaten zijn makkelijk uit te lezen

Er is echter meer aan de hand met de website. Die is namelijk lek, en de resultaten zijn makkelijk uit te lezen. Er wordt al maanden gewaarschuwd dat de website niet veilig is, al zijn er sinds die tijd ook wel veel maatregelen ingevoerd. Zo ging het verkeer lange tijd niet over SSL, maar is er inmiddels https geïmplementeerd. Toch zijn er nog meer dan genoeg fouten in de website te vinden.

Dat ontdekte beveiligingsonderzoeker Loran Kloeze, die zijn bevindingen op Twitter zette. Dat is niet eens moeiijk, want volgens Kloeze kon dat gewoon met de standaard debugging-tools die in browsers zitten. Een gedetailleerdere beschrijving heeft Kloeze op zijn blog gezet. Waar het op neer komt, is dat het eindresultaat te vinden is in een php-script op de pagina. Met een python-applicatie die Kloeze schreef kon hij onderscheppen welke resultaten uit de Stemwijzer naar voren kwamen. Zo kan hij monitoren welke partijen het vaakst wordt gegeven. Dat is belangrijke informatie, al zegt de organisatie achter de Stemwijzer dat dat geen representatieve weergave is van de uiteindelijke resultaten.
 

Manipuleren van resultaten

Belangrijker is het secundaire bewijs dat de website lek is. Waar Kloeze slechts data kan uitlezen, zijn er ook aanwijzingen dat de data actief gemanipuleerd is. In de broncode is namelijk ergens de variabele "SijmenRuwhofIsEenLul" te zijn, een verwijzing naar de beveiligingsonderzoeker die vorige week met RTL aantoonde dat het verkiezingsproces onveilig is.

Het lijkt erop alsof data ook te manipuleren is

Het lijkt erop dat het via een soort injectie mogelijk is eigen velden aan de Stemwijzer toe te voegen. De website 'Meedogenloos.nl' heeft inmiddels geclaimd die wijziging te hebben gedaan, maar geeft daar verder geen bewijs of uitleg over. Volgens een Tweakers-forumlid is het mogelijk om een JSON-injectie op te site uit te voeren. Dat gebeurt door een kwetsbaarheid in het AJAX-script dat ervoor zorgt dat de resultaten uiteindelijk weer worden teruggestuurd naar de server van ProDemos - opnieuw dat punt waar Kloeze zich al zorgen over maakte.

Reactie van ProDemos

ProDemos heeft inmiddels gereageerd op de aantijgingen. Volgens de organisatie heeft het al enkele maanden contact met het Nationaal Cyber Security Centrum om diverse beveiligingsproblemen op te lossen, maar zijn er sinds de onthullingen van Kloeze nog extra maatregelen genomen. De instantie erkent dat het mogelijk was dat de code 'SimonRuwhofiseenlul' op de site kon komen, maar voegt daar direct aan toe dat het nooit mogelijk is geweest om stemmen te beïnvloeden.

Het gevaar van onveilige stemwijzers

Onveilige stem-tools zijn zeker nu een heet hangijzer

Ondanks die uitspraak is de beveiliging van de website juist nu een belangrijk onderwerp. Security-experts waarschuwen er namelijk al maanden voor dat de beveiliging van de aankomende verkiezingen gevaar loopt. Vorige week ontdekte RTL bijvoorbeeld al dat de software waarmee de stemmen worden geteld lek was, waardoor het van een afstandje mogelijk is die te onderscheppen en zelfs te manipuleren.

Daarnaast onthulde de Nationaal Coördinator Terrorismebestrijding Dick Schoof vorige week dat Rusland diverse inbraakpogingen had gedaan bij het Ministerie van Algemene Zaken, al werd er tijdens die hacks geen data buitgemaakt.

Inmiddels is ook al bekend dat Rusland achter de hacks zat op de Democratic National Committee, de Amerikaanse Democratische Partij waarvan vorig jaar tienduizenden emails naar buiten kwamen. Amerikaanse inlichtingen- en opsporingsdiensten hebben inmiddels geconcludeerd dat Rusland dat deed om de verkiezingen actief te beïnvloeden.

De Oscarnominaties voor dit jaar zijn gisteren bekendgemaakt. Sinners heeft de meeste nominaties te pakken, namelijk zestien stuks.

Het gaat om de 98e editie van de Academy Awards, waarbij in de nacht van 15 op 16 maart weer de prestigieuze Oscars worden uitgedeeld aan films en hun makers.

Zoals gezegd heeft de horrorfilm Sinners van regisseur Ryan Coogler (met een dubbelrol van Michael B. Jordan) de meeste nominaties dit jaar gekregen: namelijk zestien nominaties. Dat is een record: de vorige recordhouder waren de films Titanic, La La Land en All About Eve met veertien nominaties. De film is overigens te zien via HBO Max en Pathé Thuis.

Ook One Battle After Another, de meest recente film van Paul Thomas Anderson, maakt kans op veel Oscarbeeldjes, namelijk dertien. Daarnaast zet Timothée Chalamet voor zijn rol in Marty Supreme zijn derde Oscarnominatie op zijn naam: ook een record voor iemand van zijn leeftijd.

Hieronder zijn alle genomineerden in de verschillende categorieën te zien.

Beste film:

Beste regisseur:

Beste actrice in een hoofdrol:

Beste acteur in een hoofdrol:

Beste actrice in een bijrol:

Beste acteur in een bijrol:

Beste scenario (gebaseerd op bestaand verhaal):

Beste scenario (origineel verhaal):

Beste internationale film:

Beste animatiefilm:

Beste cinematografie:

Beste originele score:

Beste nummer:

Beste make-up en styling:

Beste kostuums:

Beste casting:

Beste montage:

Beste productiedesign:

Beste geluid:

Beste visuele effecten:

Beste korte animatiefilm:

Beste korte live-action film:

Beste lange documentaire:

Beste korte documentaire:

Benieuwd hoeveel geld je maandelijks aan boodschappen, abonnementen en verzekeringen spendeert? Een digitaal huishoudboekje komt dan goed van pas. Importeer je banktransacties, koppel je bankrekening(en) of voer alle betalingen handmatig in. Vervolgens zie je in één klap aan welke zaken je je geld uitgeeft. Zo krijg je meer grip op je financiën. We zetten de beste Nederlandstalige hulpjes op een rij.

Hoewel veel banken in hun apps alle uitgaven specificeren, zijn digitale huishoudboekjes nog altijd de moeite waard. Afhankelijk van welke toepassing je kiest, kun je namelijk meerdere rekeningen koppelen. Zo krijg je dus een compleet beeld van alle inkomsten en uitgaven. Veel online tooltjes zijn gratis, maar de functionaliteit is vaak beperkt. Voor de volledige versie dien je een maand- of jaarabonnement af te sluiten. Aangezien we met een digitaal huishoudboekje de uitgaven juist willen inperken, passeren in dit artikel alleen gratis oplossingen de revue.

BankTrans

Hoewel de Nederlandse eigenaar begin 2024 met de ontwikkeling van BankTrans stopte, blijft het programma nog wel bestaan. Download een versie voor Windows, macOS of Linux en importeer vervolgens banktransacties van verschillende rekeningen. Dat kan via diverse bestandsformaten, zoals csv, txt en MT940. Bij vrijwel iedere Nederlandse bank kun je een geschikt transactiebestand ophalen.

De oubollige gebruikersomgeving is even wennen. Zodra de transactiegegevens zijn ingelezen, verschijnen alle inkomsten en uitgaven in een lange waslijst. Bekijk onder meer of iets via een incasso, betaalautomaat of iDEAL is betaald. Je dient handmatig categorieën aan transacties toe te wijzen. Sleep hiervoor geselecteerde transacties naar een categorie aan de linkerkant. Wanneer deze klus eenmaal is geklaard, zie je precies hoeveel geld je maandelijks of jaarlijks aan pakweg kleding, cadeaus en brandstof uitgeeft. Gebruik hiervoor de filteropties.

Budgetbeheerder, Geld tracker

Zoek je een digitaal huishoudboekje voor je smartphone of tablet, dan is Budgetbeheerder, Geld tracker een goede keuze. Deze breed gewaardeerde app is zowel voor Android als iOS beschikbaar. Je kunt de toepassing gratis gebruiken, al komen er dan wel regelmatig advertenties en reclamevideo’s tevoorschijn.

Dit huishoudboekje is simpel in gebruik. Selecteer eerst de gewenste datum en tik daarna op het plusteken om inkomen of een kostenpost toe te voegen. Kies hierbij ook een van de beschikbare categorieën. Is deze lijst niet compleet? Geen probleem, want je maakt in de instellingen zo nodig een nieuwe categorie aan. Handig is dat je (een foto van) een kassabon, factuur of loonstrook kunt bijsluiten.

Helaas is het importeren van een transactiebestand niet mogelijk. Hierdoor kost het veel tijd om alles handmatig in te voeren. Wie alle transacties zorgvuldig toevoegt, kan een balans van een week, maand, jaar of aangepaste periode opvragen. Stel optioneel herinneringen in, zodat je het huishoudboekje op gezette tijden kunt bijwerken.

De Huishoudkist

Net als BankTrans heeft ook De Huishoudkist een gedateerde vormgeving. Bovendien vraagt de softwareontwikkelaar voor het analyseren van banktransacties een klein bedrag. Plaats een transactiebestand van jouw bankrekening in de downloadmap van Windows. Via Invoer / Import bank plukt De Huishoudkist alle transacties uit het bankbestand. Werkt het goed en wil je grafieken van de ingelezen banktransacties tonen, dan kost deze module eenmalig 7,60 euro. Als alternatief kun je de boel ook handmatig invoeren.

Je dient eigenhandig de juiste categorieën aan betalingen en inkomsten toe te voegen. De Huishoudkist heeft hiervoor een uitgebreide lijst. Een pluspunt is dat je een heleboel grafieken kunt opvragen, zoals de gemiddelde inkomsten en uitgaven per maand of het jaarbudget van jouw gezin. Daarnaast kun je een grafiek met uitgaven van alle geselecteerde categorieën opvragen. Wil je liever niet dat andere gezinsleden De Huishoudkist gebruiken, dan beveilig je het programma met een wachtwoord.

Dyme Basic

Dyme is een modern vormgegeven app voor Android en iOS. We bespreken in dit artikel de gratis basisversie. Maak na de installatie eerst een account aan. Overigens kun je ook met een profiel van Apple, Google of Facebook inloggen. Vervolgens ga je je bankrekening koppelen, waarna Dyme automatisch alle transacties ophaalt. Soms werkt deze koppeling niet meteen, maar blijf het in dat geval gewoon proberen. Ben je ietwat huiverig om zomaar bankgegevens met een app te delen? Weet dan dat Dyme voldoet aan de voorwaarden van De Nederlandsche Bank. Al jouw gegevens worden gecodeerd opgeslagen.

Je kunt optioneel pushberichten aanzetten. Zo weet je een dag van tevoren bijvoorbeeld wanneer de woonstichting huur afschrijft of jouw werkgever salaris stort. Fijn is dat Dyme Basic op eigen houtje inkomsten, vaste lasten en uitgaven categoriseert. Dat scheelt vergeleken met andere huishoudboekjes een heleboel tijd! Je kunt hierbij naar onderliggende subcategorieën doortikken.

De app checkt ook of er voor bepaalde verzekeringen, energieleveranciers en providers goedkopere alternatieven zijn. Misschien kun je zelfs rechtstreeks overstappen. Dit is trouwens een belangrijk verdienmodel van Dyme, want het Amsterdamse bedrijf strijkt op die manier commissies op. Met de betaalde versie (Silver of Gold) kun je onder andere ongewenste contracten opzeggen, eigen categorieën toevoegen en transacties naar Excel exporteren.

MijnGeldzaken.nl - Brons

In 2019 nam MijnGeldzaken.nl het populaire online huishoudboekje AFAS Personal over. Deze dienst is nog altijd gratis beschikbaar, al is het zogenoemde Brons-account wel beperkt. Zo koppel je in tegenstelling tot Dyme Basic slechts één rekeningnummer. Verder kun je niet budgetteren en geen eigen categorieën aanmaken. Wie niet op deze beperkingen zit te wachten, betaalt voor een Koper-abonnement zo’n 27 euro per jaar.

Nadat je een account hebt aangemaakt, log je op de website of in een app (Android en iOS) in. MijnGeldzaken.nl kan zo nodig gegevens van een oud AFAS Personal-account importeren. Het dashboard is behoorlijk uitgebreid. Neem dus even de tijd om alle functies te verkennen. Je kunt een bankrekening koppelen óf handmatig banktransacties importeren via een csv-bestand. Helaas is voor gratis leden het koppelen van een bankrekening slechts een beperkte periode beschikbaar. MijnGeldzaken.nl voldoet aan de voorwaarden van De Nederlandsche Bank.

Het huishoudboekje toont in het hoofdscherm hoeveel geld je volgens historische data deze maand nog ontvangt en nog dient te betalen. Verder wijst MijnGeldzaken.nl zelfstandig categorieën aan inkomsten en uitgaven toe. Een cirkeldiagram toont hoeveel geld je aan wonen, huishouden, vervoer, verzekeringen, vrije tijd en kleding spendeert. Jammer genoeg maakt deze webdienst nauwelijks gebruik van kleuren, waardoor de gebruiksomgeving nogal saai oogt.

Bankkoppeling intrekken

Je kunt de zogeheten PSD2-koppeling naar jouw bank op ieder moment weer stopzetten. Nuttig voor het geval je Dyme of MijnGeldzaken.nl niet meer gebruikt. Duik hiervoor in de instellingen van de gebruikte tool en navigeer naar je bankgegevens. Vervolgens kun je de PSD2-koppeling intrekken.

Conclusie

Hoewel de mogelijkheden van MijnGeldzaken.nl Brons en Dyme Basic in grote lijnen overeenkomen, geven we toch de voorkeur aan laatstgenoemde aanbieder. Je kunt hiermee in de gratis versie namelijk meerdere rekeningnummers koppelen, waarna deze app alle transacties automatisch categoriseert. Bovendien blijft de bankkoppeling in stand, terwijl die bij MijnGeldzaken.nl Brons na de proefperiode vervalt. Wellicht wil je liever niet dat het digitale huishoudboekje banktransacties rechtstreeks bij jouw bank ophaalt. In dat geval zijn BankTrans (desktopprogramma) en Budgetbeheerder, Geldtracker (app) bruikbare alternatieven.