Op de eerste dag dat de StemWijzer voor de Tweede Kamerverkiezingen online stond, is inzichtelijk geweest op welke partij de meeste mensen uitkwamen na het invullen van de test.

Dat bevestigt een woordvoerder van ProDemos, maker van de StemWijzer, dinsdag na een ontdekking van beveiligingsonderzoeker Loran Kloeze.

De browser die wordt gebruikt om de test in te vullen, doet achteraf een verzoek aan een server van de StemWijzer om een volledige telling van alle uitslagen op te vragen, aldus Kloeze. Die telling was niet zichtbaar voor normale gebruikers, maar kon in de ingebouwde ontwikkelaarsomgeving van de browser Chrome gemakkelijk worden opgevraagd.

Uit de meest recente uitslag die Kloeze twitterde blijkt dat het grootste aantal StemWijzer-invullers (ruim 45.000) uitkomt op de PVV. Die partij wordt gevolgd door PvdA, VVD, Partij voor de Dieren en 50Plus.

Serieus nemen

ProDemos neemt volgens een woordvoerder het datalek heel serieus. "Het is goed dat het nu aan het licht komt en niet op een later moment, als er meer data bekend is. We willen niet dat dit op straat komt te liggen." Inmiddels is het lek gedicht.

Volgens ProDemos is de data van de StemWijzer niet representatief voor de verkiezingen. "Sommige mensen vullen hem heel snel in, of kiezen alleen maar bijvoorbeeld het eerste antwoord". Een hoge score voor de PVV zou volgens de makers van StemWijzer er daarom niet op wijzen dat die partij ook hoog zal scoren tijdens de verkiezingen.

Kloeze noemt het beveiligingslek in de eerste plaats een stomme fout. "Maar als de StemWijzer onjuist lijkt te werken, dan kan dat zeker invloed hebben", aldus de beveiligingsonderzoeker. "Veel mensen gebruiken de stemwijzer toch om uiteindelijk te bepalen waar ze op stemmen."

Volgens Kloeze zit in de code van de StemWijzer ook de tekst "SijmenRuwhofiseenlul" verborgen. Daarmee wordt gerefereerd naar de beveiligingsonderzoeker die ontdekte dat verkiezingssoftware kwetsbaar is. ProDemos stelt dat deze tekst door een gebruiker werd meegestuurd bij zijn of haar inzending op StemWijzer en dat de ontwikkelaars van de site deze niet zelf hebben toegevoegd.

Hoewel er tekst aan de code toegevoegd kon worden, benadrukt ProDemos dat het niet mogelijk was om de uitslagen op de site te manipuleren. Het misbruikte lek hiervoor zou inmiddels zijn gedicht.

'Neem stemadvies kieswijzers niet klakkeloos over'

Hackers

Opvallend genoeg zei directeur Eddy Habben Jansen van ProDemos maandag dat de StemWijzer dit jaar extra goed is beveiligd tegen hackers. Hij gaf geen details, maar zei de maatregelen te hebben genomen naar aanleiding van hacks rond de presidentsverkiezingen in de Verenigde Staten.

Volgens beveiligingsonderzoekers is het lekken van de uitslag echter niet het enige technische probleem met de StemWijzer. Er is ook kritiek op het gebruik van een advertentiedienst van Google op de site.

In het privacybeleid van de StemWijzer staat dat de 'trackers' van onder meer Google niet worden gebruikt om gegevens over politieke standpunten door te geven, maar uit analyse van onderzoeker Sjors Provoost blijkt dat onder meer wel wordt doorgegeven welke vragen als extra belangrijk worden gemarkeerd door mensen die de test invullen.

"Ze moeten de StemWijzer offline halen tot dit is opgelost", concludeerde Kloeze dinsdagochtend op Twitter. "Het rammelt aan alle kanten..."