Når velmenende borgere afleverer hundredtusindevis af net-underskrifter til ministre og politikere, er der ingen garanti for, at det rent faktisk er underskrifternes rigtige ejermænd, som har skrevet under på eksempelvis modstand mod dødskørsel eller krav om højere straf til pædofile.
Manglende sikkerhed mod fusk på de servicesider, som mange underskrifts-indsamlinger stammer fra, gør det muligt at samle 100.000 falske underskrifter med tilfældige navne på en nats tid.
Det fortæller Sebastian Nielsen, der arbejder som programmør, og som på sin blog uvorn.dk/underskifter gør opmærksom på problemstillingen.
- Der er ingen sikring på skrivunder.dk og underskrifter.dk. I princippet kan man spamme serveren med masser af underskrifter. Der burde være nogle sikringer, som ligger bag overfladen, siger Sebastian Nielsen.
Kode tog 15 minutter at skrive
For at påvise problemet oprettede Sebastian Nielsen forsøgsindsamlingen underskriftsmisbrug.skrivunder.dk.
Her fyldte han i løbet af nogle timer indsamlingen med 60.000 underskrifter ved hjælp af nogle få linier kode, som tog omkring 15 minutter at skrive.
For eksemplets skyld nøjedes han med navne og ikke yderligere oplysninger som email, postadresser eller telefonnummer, som nogle netindsamlinger forlanger.
Disse oplysninger underbygger troværdigheden, fordi de gør det muligt senere at verificere ægtheden manuelt.
Det lille program genererede navne hentet fra kirkeministeriets hjemmeside og oprettede dem som underskrifter på indsamlingen ved hjælp af HTTP requests, fortæller Sebastian Nielsen.
Fem navne i sekundet
- Programmet kontakter underskrifter.dk-serveren en masse gange og spørger, om den vil have et nyt navn. Det siger den så ja tak til tre til fem gange i sekundet, siger Sebastian Nielsen.
Ud over muligheden for at automatisere underskrivningen er et andet problem, at man kan sende flere underskrifter fra samme ip-nummer. Løsningen på dette er kompleks, og diskuteres ivrigt på eksempelvis nyhedssitet newz.dk.
Ifølge Sebastian Nielsen kunne en løsning være at oprette en regel mod flere underskrifter fra samme ip. Eller at lave en tidsbegrænsning på, hvor ofte man kan sende en underskrift.
- Du vil aldrig kunne sikre dig mod manuel svindel. Men du kan godt forhindre, at man kan smide fem underskrifter ind i sekundet, siger Sebastian Nielsen.
Retter falske underskrifter manuelt
Sebastian Nielsen gjorde herefter selskabet Netomia, som står bag underskrifter.dk og skrivunder.dk opmærksom på sikkerhedshullet.
Herfra lød meldingen i en mail fra direktør Martin Bay Pedersen til Sebastian Nielsen, at man tidligere har oplevet problemet, og at det eneste firmaet kan gøre er at fjerne de falske underskrifter manuelt.
Det har trods gentagne forsøg ikke været muligt at få fat i Netomia.
