Security-onderzoeker Maarten Boone van Zerocopter heeft een kritieke kwetsbaarheid ontdekt in OSV2020, de software die de Kiesraad gebruikt.
OSV2020 faciliteert te gang van zaken rondom de Nederlandse verkiezingen. Het is echter niet verantwoordelijk voor het tellen van de stemmen, dat gaat nog altijd niet digitaal.
Bij het decompileren van de publieke OSV2020-software ontdekte Boone dat het gebruikmaakt van een open-source installer genaamd Izpack. Een set van Java serialized objects waren naar JSON te converteren, waarna de inloggegevens van de softwareleverancier te lezen waren.
Tip: Website Belgische overheidsinstelling lekte twaalf jaar lang adressen
Snelle reactie
Hoewel de fout van een zorgwekkende aard was, wist de CISO van de Kiesraad snel te reageren op de bevindingen van Boone. Binnen tien dagen werd een fysieke afspraak in Den Haag gemaakt met de security-onderzoeker om een oplossing te verzinnen voor de ontdekte kwetsbaarheid. De gang van zaken lijkt volledig de leidraad van de Coordinated Vulnerability Disclosure, die security-professionals aanmoedigt om kwetsbaarheden op te sporen en kenbaar te maken. Ook Zerocopter raadt aan om dergelijke programma’s te gebruiken of bug bounties te beloven, waardoor kwetsbaarheden sneller ontdekt worden door legitieme actoren in plaats van kwaadwillenden.
2 dagen geleden
