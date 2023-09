In een module van de Ondersteunende Software Verkiezingen (OSV2020) zijn meerdere kwetsbaarheden gevonden, waardoor een aanvaller de inloggegevens van de leverancier kon achterhalen, alsmede de locatie van en de gebruikersnaam en wachtwoord voor de private key. Een aanvaller zou zo op de server van de leverancier kunnen inloggen. De problemen zijn inmiddels opgelost, zo heeft de Kiesraad vandaag bekendgemaakt. De OSV wordt al ruim tien jaar gebruikt bij het berekenen en vaststellen van de verkiezingsuitslagen in Nederland.

Er is een ook een module (OSV2020-PP) die politieke partijen kunnen gebruiken voor het samenstellen van de kandidatenlijsten. Beveiligingsonderzoeker Maarten Boone ontdekte in de installer van de module inloggegevens van de leverancier. Ook was in de installer het pad te vinden naar de private key op het interne netwerk van de leverancier plus de gebruikersnaam en het wachtwoord hiervan.

"Deze gevonden kwetsbaarheden samen leveren een risico op voor de integriteit van de software", aldus de Kiesraad. Demissionair minister De Jonge van Binnenlandse Zaken meldt dat aanvallers door de kwetsbaarheden op de server van de leverancier konden inloggen (pdf). De Kiesraad meldt dat de beveiligingslekken door de leverancier zijn verholpen voordat politieke partijen de software konden downloaden in voorbereiding op de Tweede Kamerverkiezingen op 22 november. Volgens de Kiesraad is er geen indicatie dat de kwetsbaarheden het functioneren van andere modules van OSV2020 hebben beïnvloed.