Sicherheitsforscher von Certitude haben bei der Mitgliederbefragung der SPÖ zwei kritische Schwachstellen identifiziert, die eine mögliche Manipulation möglich gemacht hätten.
Mit dem gestrigen Tag ist die Mitgliederbefragung der SPÖ abgeschlossen. Nun geht es an die Auszählung. Mit einem Ergebnis ist am 22. Mai zu rechnen. Dann wird sich zeigen, ob Pamela Rendi-Wagner, Hans-Peter Doskozil oder Andreas Babler den Vorsitz der SPÖ übernehmen wird. Es waren rund 150.000 Mitglieder stimmberechtigt, wie hoch die Wahlbeteiligung war, ist derzeit noch nicht absehbar.
- Mitgliederbefragung: SPÖ-Sieger steht ab heute fest ...
- Dreikampf um SPÖ-Vorsitz: Babler rechnet mit "beachtlichem Ergebnis"
Sicherheitslücken festgestellt
Wie jetzt Sicherheitsforscher von Certitude aufzeigen, wäre eine Manipulation der Mitgliederbefragung aber durchaus möglich gewesen. Zwar bekam jedes Mitglied einen eigenen Zugangscode, um sicherzustellen, dass nur einmal angestimmt wird, die Zugangscodes waren aber nicht komplex genug, um sogenannten Brute-Force-Angriffen standzuhalten, und die IP-Adress-Sperre konnte umgangen werden. Zudem war auch kein Login verlangt worden. Verwendet wurde ein siebenstelliger Code aus Kombinationen von Buchstaben und Zahlen.
Die Schwachstellen hätten es Angreifern theoretisch erlaubt, Stimmen zu manipulieren. Insgesamt gibt es 78.364.164.096 mögliche Codes, von denen 150.000 zu Beginn der Befragung aktiv waren. Hacker hätten also zu Beginn der Befragung theoretisch nur die nötige Anzahl der Möglichkeiten versuchen müssen, um die Wahl zu manipulieren. Jedoch gibt es ein Limit bei den Versuchen. So darf es pro IP-Adresse innerhalb von 10 Minuten nur 5 Login-Versuche geben. "Jedoch konnte Certitude eine weitere technische Schwachstelle finden, um diese Beschränkung zu umgehen. Durch das Setzen eines X-Forwarded-For HTTP-Request-Headers konnten beliebige IP-Adressen vorgetäuscht werden", Certitude in ihrem Bericht.
Software nicht für Befragung geeignet
Des Weiteren kam Certitude zu dem Schluss, dass die Software, welche von der SPÖ für die Mitgliederbefragung zur Verfügung gestellt wurde, völlig ungeeignet ist. "Abgesehen von den zwei gefundenen Schwachstellen hält Certitude die von der Partei eingesetzte Software für nicht zum Zwecke einer Wahl bzw. eine Mitgliederbefragung dieser Sensibilität konzipiert", so Certitude.
Zur Verteidigung der SPÖ hält Certitude aber dennoch fest, dass die Befragung innerhalb von kürzester Zeit auf die Beine gestellt werden musste und es in dieser Zeit schwer sei, ein adäquates System zu finden.