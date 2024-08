Experts: onverantwoord

Nieuwsuur heeft de informatie van de melders van het datalek en Stichting CAOP voorgelegd aan enkele software-experts. Volgens Erik Poll, universitair hoofddocent digitale veiligheid aan de Radboud universiteit, is er sprake van een fout in de software van Crowdtech. "Het zou nooit mogelijk moeten zijn om bij enquêtes van andere deelnemers te komen, welke opties je nou wel of niet aanvinkt."

Het aan een klant, in dit geval CAOP, overlaten om een vinkje goed te zetten is onverantwoord, meent Herbert Bos, hoogleraar beveiliging van computersystemen aan de Vrije Universiteit. "Je zegt bij een auto ook niet: je moet deze knoppen indrukken voordat je de weg opgaat, want anders doen de remmen het niet. Er is geen scenario waarbij je zonder remmen de weg op wil."

Volgens Marco Spruit, hoogleraar geavanceerde datawetenschap aan de Universiteit Leiden, is het "zeer waarschijnlijk" dat ook andere soortgelijke onderzoeken gedaan met software van Crowdtech deze veiligheidsrisico's kennen. "Dat iemand de URL kan veranderen, dat wil je niet en is technisch onnodig. Ik ben er vrijwel zeker van dat deze bug ook bij het onderzoek van Van Rijn aanwezig was. Het is alleen nu pas aan het licht gekomen."

'Geen meldingen over NPO-onderzoek'

Crowdtech wil niet inhoudelijk op de kritiek reageren, maar verwijst naar CAOP. CAOP wil niet ingaan op technische vragen over de software Crowdtech. De stichting stelt dat Crowdtech gecertificeerd is, maar wil geen toelichting geven op specifieke vragen over de onderliggende onderzoeksmethodiek.

Volgens CAOP-woordvoerder Patricia de Broekert staat het datalek van de NTR op zich. "Eerst was er sprake van een menselijke fout en de tweede keer van ongelukkige communicatie. Het heeft niks te maken met de veiligheid van het softwareprogramma." Beveiligingsbedrijf Fox-IT heeft de vragenlijst en de software na het eerste NTR-onderzoek bekeken en het veilig bevonden, stelt ze. De zaak van de NTR heeft dan ook "niets van doen met de veiligheid van het onderzoek van Van Rijn of andere onderzoeken".

De NPO laat weten op dit moment geen aanwijzingen of meldingen ontvangen te hebben van (oud-)medewerkers of van het CAOP dat dit destijds ook speelde. "Wij zullen bij CAOP navraag doen of dit ook tijdens dit onderzoek het geval was."