De kandidaten De Jonge, Keijzer en Omtzigt (vlnr). ANP

Het CDA heeft besloten om zijn lijsttrekkersverkiezing over te doen, omdat het niet kan garanderen dat de verkiezing eerlijk is verlopen. Kwaadwillenden konden geautomatiseerd valse stemmen uitbrengen. Dat bevestigt de partij nadat de NOS met behulp van onderzoekers wist aan te tonen dat de verkiezing onveilig was.

Vanaf morgen moeten alle leden die hun stem al hadden uitgebracht, opnieuw stemmen. "We willen zeker weten dat de verkiezing eerlijk is verlopen, en dat kunnen we nu niet garanderen", zegt partijvoorzitter Rutger Ploum. Dat de verkiezing over moet, noemt hij "ontzettend vervelend".

CDA-leden konden oorspronkelijk tot morgenmiddag stemmen. Die planning verandert: nu kunnen leden stemmen van morgen 09.00 uur tot zaterdag 09.00 uur. Zaterdag om 17.00 uur volgt de uitslag.

Leden kunnen kiezen uit minister Hugo de Jonge van Volksgezondheid, staatssecretaris van Economische Zaken Mona Keijzer en Tweede Kamerlid Pieter Omtzigt. Als geen van hen de absolute meerderheid haalt, volgt een tweede ronde; die duurt dan tot dinsdag.

'Geen aanwijzingen voor valse stemmen'

Volgens Ploum zijn er geen aanwijzingen dat er daadwerkelijk valse stemmen zijn uitgebracht, anders dan de stemmen van een ethische hacker die het probleem bij de partij aankaartte. Maar hij kan het ook niet uitsluiten; reden voor het partijbestuur om de verkiezing over te doen.

De stemsite van het CDA NOS

TU Delft-promovendus Jordy San Jose Sanchez ontdekte het probleem. Hij tipte eerst het CDA en toen de NOS. "Het ging fout met de stemcodes die mensen moeten invullen", zegt hij. "Er waren veel te weinig mogelijke combinaties."

Daardoor waren de codes te raden. "Als je willekeurig cijfers intikte, was er een kans van één op de 250 dat je een correcte stemcode invoerde", zegt San Jose Sanchez. Die kans is misschien nog relatief klein als je codes met de hand invoert, maar dat proces kan worden geautomatiseerd.

Met een computerprogrammaatje konden net zo lang willekeurige cijfers ingevoerd worden tot er een geldige stem werd uitgebracht. San Jose Sanchez slaagde erin op die manier drie valse stemmen uit te brengen. "Drie keer op Mona Keijzer, dat was toeval", zegt hij. Beveiligingsonderzoekers Tom Wolters en Benjamin Broersma wisten zijn bevindingen te verifiëren.

Als ik was doorgegaan, had ik uiteindelijk alle stemmen kunnen uitbrengen

Promovendus Jordy San Jose Sanchez

Toen San Jose Sanchez merkte dat het lukte om valse stemmen uit te brengen, staakte hij zijn pogingen. "Als ik was doorgegaan, had ik uiteindelijk alle stemmen kunnen uitbrengen", zegt hij. Op één computer had dat binnen 30 uur gekund, denkt hij. "Maar met wat meer voorbereiding kon dat binnen een uur."

Daardoor zouden wel de stemcodes van alle CDA-leden geblokkeerd worden: die leden hadden dan niet kunnen stemmen. Daarmee zou grootschalige fraude waarschijnlijk niet onopgemerkt zijn gebleven. Maar minder grootschalige, goed doordachte fraude zou lastiger op te sporen zijn, denkt de onderzoeker.

Opvallend genoeg gebruikt de partij bij de nieuwe stemming dezelfde codes van zeven cijfers. Wel moeten leden bij het stemmen hun postcode invoeren en is beveiligingsbedrijf Fox-IT ingehuurd.

Zebrapaden en verkeerslichten

Aanvankelijk dacht de partij het probleem gisteravond te hebben opgelost, door gebruikers te vragen om te bewijzen dat ze geen robot zijn. Gebruikers moeten dan bijvoorbeeld zebrapaden of verkeerslichten aanklikken.

Die aanpassing bleek echter ook eenvoudig te omzeilen, ontdekten Broersma en Wolters, waarna de partij vanmiddag besloot om de verkiezing over te doen.

STER reclame