C0024 - أمن المعلومات الخاص بكوفيد: ممارسات الإفصاح عن الثغرات الأمنية

الحكم

صحيح جزئياً

تقييم المصداقية 6.0/10

أساس التقييم

التبرير: المزاعم الواقعية دقيقة (مما يستحق درجة أعلى من 5)، وفشل سياسة الإفصاح عن الثغرات الأمنية هو نقد مشروع لممارسات الحكومة في مجال الأمن السيبراني. ومع ذلك، تخسر المزاعم نقاطاً لـ: (1) عدم تقديم سياق حول فشل حزب Labor في حوكمة نظام الصحة الرقمي، (2) عدم الاعتراف بأن بعض الوكالات الحكومية (Home Affairs، Service NSW) كانت تمتلك بالفعل سياسات إفصاح عن الثغرات، و (3) المبالغة في تقييم الخطورة دون أدلة على استغلال فعلي لتزوير الشهادات في الواقع. المزاعم عادلة لكنها غير مكتملة؛ فهي تذكر مشاكل حقيقية ولكن بدون سياق كافٍ حول مدى انتشار هذه المشاكل عبر الحكومات الأسترالية.

كوفيد أمن سيبراني تكنولوجيا

تاريخ التحليل ٢٩ يناير ٢٠٢٦

وقت القراءة ~4 دقيقة قراءة

عدد الأدلة 🔗 11 مصادر

هل تريد الاستشهاد بهذا؟

استخدم معرّفنا الفريد عند الإشارة إلى هذا التحقق في الخطاب العام. C0024

C0024

الادعاء

“لم تتبع أفضل ممارسات الأمن السيبراني للقاحات الرقمية الخاصة بكوفيد. ليس لديهم طريقة فعالة للإبلاغ عن الثغرات الأمنية، ناهيك عن وجود مكافآت للعثور على الأخطاء (bug bounties) لردع بيع الثغرات للمجرمين. عندما يتم إبلاغ الحكومة في النهاية بالثغرات الأمنية في تطبيقهم، فإنهم لا يستجيبون لها ولا يحلونها في الوقت المناسب.”

كوفيد أمن سيبراني تكنولوجيا

المصدر الأصلي: Matthew Davis

تاريخ التحليل: 29 Jan 2026

المصادر الأصلية المقدمة

mdavis.xyz

Documentation of Coalition government policies and claims.

Matthew Davis

✅ التحقق من الحقائق

### ### ثُغْرَةً tẖgẖrẗ فِي fy نِظَامِ nẓạm الشَّهَادَةِ ạlsẖhạdẗ الرَّقْمِيَّةِ ạlrqmyẗ الخاص ạlkẖạṣ بكوفيد bkwfyd

### Vulnerability in COVID Digital Certificate System

الْحَقَائِقُ ạlḥqạỷq الْأَسَاسِيَّةُ ạlạ̉sạsyẗ لِلْمَزَاعِمَ llmzạʿm مُؤَكِّدَةً mw̉kdẗ بِشَكْلِ bsẖkl جَوْهَرِي jwhry.

The core facts of the claim are substantially verified.

اكتشف ạktsẖf ريتشارد rytsẖạrd نيلسون، nylswn, باحث bạḥtẖ أمني ạ̉mny موثوق، mwtẖwq, ثغرة tẖgẖrẗ أمنية ạ̉mnyẗ كبيرة kbyrẗ في fy نظام nẓạm شهادة sẖhạdẗ كوفيد-19 kwfyd-19 الرقمية ạlrqmyẗ التابع ạltạbʿ لـ l Express Express Plus Plus Medicare Medicare في fy أستراليا ạ̉strạlyạ في fy سبتمبر sbtmbr 2021 2021 [1]. [1].

Richard Nelson, a credible security researcher, discovered a significant vulnerability in Australia's Express Plus Medicare COVID-19 digital certificate system in September 2021 [1].

وجد wjd نيلسون nylswn أنه ạ̉nh من mn السهل ạlshl جعل jʿl تطبيق tṭbyq Medicare Medicare يعرض yʿrḍ شهادة sẖhạdẗ لقاح lqạḥ كوفيد-19 kwfyd-19 تبدو tbdw صالحة ṣạlḥẗ من mn خلال kẖlạl ما mạ يصفه yṣfh بثغرة btẖgẖrẗ "man-in-the-middle" "man-in-the-middle" [2]. [2].

Nelson found it was trivial to make the Medicare app display a valid-looking COVID-19 vaccine certificate through what he describes as a "man-in-the-middle" vulnerability [2].

تم tm الإبلاغ ạlạ̹blạgẖ عن ʿn هذا hdẖạ الاكتشاف ạlạktsẖạf على ʿly̱ نطاق nṭạq واسع wạsʿ من mn قبل qbl وسائل wsạỷl الإعلام ạlạ̹ʿlạm الرئيسية، ạlrỷysyẗ, بما bmạ في fy ذلك dẖlk ABC ABC [3]. [3].

This finding was widely reported by mainstream media, including the ABC [3].

### ### غِيَابَ gẖyạb بَرْنَامَجِ brnạmj الْإفْصَاحِ ạlạ̹fṣạḥ عَن ʿn الثُّغْرَاتِ ạltẖgẖrạt الْأَمْنِيَّةِ ạlạ̉mnyẗ

### Lack of Vulnerability Disclosure Program

تُؤَكِّدُ tw̉kd تَصْرِيحَاتُ tṣryḥạt الْحُكُومَةِ ạlḥkwmẗ مَزَاعِمَ mzạʿm غِيَابِ gẖyạb بَرْنَامَجِ brnạmj رَسْمِيِّ rsmy لِلْإفْصَاحَ llạ̹fṣạḥ عَن ʿn الثُّغْرَاتِ ạltẖgẖrạt الْأَمْنِيَّةِ ạlạ̉mnyẗ.

The claim about the absence of a formal vulnerability disclosure program is confirmed by government statements.

خلال kẖlạl جلسات jlsạt استماع ạstmạʿ Budget Budget Estimates Estimates في fy أواخر ạ̉wạkẖr 2021، 2021, عندما ʿndmạ تم tm استجواب ạstjwạb Services Services Australia Australia من mn قبل qbl أعضاء ạ̉ʿḍạʾ مجلس mjls الشيوخ ạlsẖywkẖ من mn حزب ḥzb Labor Labor بخصوص bkẖṣwṣ الثغرات ạltẖgẖrạt الأمنية، ạlạ̉mnyẗ, أوضحت ạ̉wḍḥt Services Services Australia Australia صراحةً: ṣrạḥẗaⁿ: "لا "lạ توجد twjd حالياً ḥạlyạaⁿ برامج brạmj للإفصاح llạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt الأمنية ạlạ̉mnyẗ ولا wlạ توجد twjd خطط kẖṭṭ مستقبلية mstqblyẗ لتنفيذ ltnfydẖ مثل mtẖl هذا hdẖạ البرنامج ạlbrnạmj للشهادات llsẖhạdạt الرقمية ạlrqmyẗ للتطعيم" lltṭʿym" [4]. [4].

During Budget Estimates hearings in late 2021, when grilled by Labor senators about the security vulnerabilities, Services Australia explicitly stated: "There are currently no vulnerability disclosure programs in place nor any future plans to implement such a program for the digital vaccination certificates" [4].

بالإضافة bạlạ̹ḍạfẗ إلى ạ̹ly̱ ذلك، dẖlk, ذكرت dẖkrt Digital Digital Transformation Transformation Agency Agency (DTA) (DTA) أنه ạ̉nh "لا "lạ توجد twjd خطط kẖṭṭ للنظر llnẓr في fy إنشاء ạ̹nsẖạʾ برامج brạmj مكافآت" mkạfật" [5]. [5].

Additionally, the Digital Transformation Agency (DTA) stated it had "no plans to consider establishing bounty programs" [5].

### ### صُعُوبَةَ ṣʿwbẗ الْإِبْلَاَغِ ạlạ̹blạgẖ عَن ʿn الثُّغْرَاتِ ạltẖgẖrạt الْأَمْنِيَّةِ ạlạ̉mnyẗ

### Difficulty Reporting Vulnerabilities

تُؤَكِّدُ tw̉kd تَجْرِبَةُ tjrbẗ نِيلْسُونِ nylswn الشَّخْصِيَّةِ ạlsẖkẖṣyẗ الْجُزْءَ ạljzʾ الثَّانِي ạltẖạny مِن mn الْمَزَاعِمِ ạlmzạʿm.

Nelson's personal experience corroborates the second part of the claim.

عندما ʿndmạ اكتشف ạktsẖf الثغرة ạltẖgẖrẗ الأمنية، ạlạ̉mnyẗ, واجه wạjh تحديات tḥdyạt كبيرة kbyrẗ في fy الإبلاغ ạlạ̹blạgẖ عنها ʿnhạ من mn خلال kẖlạl القنوات ạlqnwạt المناسبة ạlmnạsbẗ [1]. [1].

When he discovered the vulnerability, he faced significant challenges in reporting it through proper channels [1].

حاول ḥạwl عدة ʿdẗ مسارات msạrạt للإبلاغ: llạ̹blạgẖ: - - حاول ḥạwl الاتصال ạlạtṣạl بـ b Services Services Australia Australia مباشرة mbạsẖrẗ لكن lkn استسلم ạstslm بعد bʿd انتظار ạntẓạr مكالمة mkạlmẗ [1] [1] - - وجد wjd أن ạ̉n وزارة wzạrẗ الصحة ạlṣḥẗ تمتلك tmtlk سياسة syạsẗ إفصاح ạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt الأمنية، ạlạ̉mnyẗ, لكن lkn Express Express Plus Plus Medicare Medicare كان kạn تابعاً tạbʿạaⁿ لـ l Services Services Australia، Australia, وليس wlys الصحة ạlṣḥẗ [1] [1] - - أبلغ ạ̉blgẖ عنها ʿnhạ عبر ʿbr ReportCyber ReportCyber و w Australian Australian Signals Signals Directorate Directorate (ASD)، (ASD), لكنه lknh لم lm يتلقَ ytlqa استجابة ạstjạbẗ إلا ạ̹lạ بعد bʿd عدة ʿdẗ أيام ạ̉yạm [1] [1] - - لم lm يتخذ ytkẖdẖ Services Services Australia Australia إجراء ạ̹jrạʾ إلا ạ̹lạ بعد bʿd أن ạ̉n غرّد gẖr̃d علناً ʿlnạaⁿ عن ʿn الثغرة ạltẖgẖrẗ الأمنية ạlạ̉mnyẗ وتم wtm الاتصال ạlạtṣạl به bh من mn قبل qbl الصحفيين ạlṣḥfyyn [1] [1]

He attempted multiple reporting pathways: - Tried calling Services Australia directly but gave up after being placed on hold [1] - Found the Department of Health had a Vulnerability Disclosure Policy, but Express Plus Medicare fell under Services Australia, not Health [1] - Reported it via ReportCyber and the Australian Signals Directorate (ASD), but received no response until days later [1] - Only after publicly tweeting about the vulnerability and being contacted by journalists did Services Australia appear to take action [1]

### ### الْاِسْتِجَابَةَ ạlạstjạbẗ وَالْمُعَالَجَةَ wạlmʿạljẗ فِي fy الْوَقْتِ ạlwqt الْمُنَاسِبِ ạlmnạsb

### Response and Remediation Timeliness

تُدَعِّمُ tdʿm الْأَدِلَّةُ ạlạ̉dlẗ اِنْتِقَادَ ạntqạd تَوْقِيتِ twqyt الْاِسْتِجَابَةِ ạlạstjạbẗ.

The evidence supports criticism of response timeliness.

لاحظ lạḥẓ نيلسون nylswn أن ạ̉n Services Services Australia Australia لم lm تتواصل ttwạṣl معه mʿh بعد bʿd أن ạ̉n نشر nsẖr الموضوع ạlmwḍwʿ علناً ʿlnạaⁿ عبر ʿbr تويتر twytr والإعلام، wạlạ̹ʿlạm, ويرجح wyrjḥ ذلك dẖlk لأن lạ̉n القضية ạlqḍyẗ أصبحت ạ̉ṣbḥt حساسة ḥsạsẗ وأرادت wạ̉rạdt الوكالة ạlwkạlẗ تجنب tjnb المزيد ạlmzyd من mn التغطية ạltgẖṭyẗ الصحفية ạlṣḥfyẗ [1]. [1].

Nelson noted that Services Australia did not reach out to him after he went public via Twitter and media, likely because the issue had become sensitive and the agency wanted to avoid additional press coverage [1].

هَذَا hdẖạ يَدُلُّ ydl عَلَى ʿly̱ نَهْجِ nhj رُدْ rd فِعْلَي fʿly بَدَلًا bdlạaⁿ مِن mn نَهْجِ nhj اِسْتِبَاقِيِّ ạstbạqy فِي fy التَّعَامُلِ ạltʿạml مَع mʿ الثُّغْرَاتِ ạltẖgẖrạt.

This demonstrates a reactive rather than proactive approach to vulnerability handling.

ومع wmʿ ذلك، dẖlk, لا lạ توفر twfr المصادر ạlmṣạdr أدلة ạ̉dlẗ صريحة ṣryḥẗ على ʿly̱ استمرار ạstmrạr الجدول ạljdwl الزمني ạlzmny للمعالجة llmʿạljẗ بعد bʿd الإبلاغ ạlạ̹blạgẖ الأولي ạlạ̉wly أو ạ̉w الإفصاح ạlạ̹fṣạḥ العام. ạlʿạm.

However, the sources do not provide explicit evidence of extended remediation timelines after the initial reporting or public disclosure.

السياق المفقود

تتطلب ttṭlb المزاعم ạlmzạʿm سياقاً syạqạaⁿ إضافياً ạ̹ḍạfyạaⁿ كبيراً: kbyrạaⁿ: **1. **1.

The claim requires significant additional context: **1.

وجود wjwd إطار ạ̹ṭạr أمني ạ̉mny للحكومة:** llḥkwmẗ:** زعمت zʿmt Services Services Australia Australia أنها ạ̉nhạ تجري tjry "تقييمات "tqyymạt أمنية ạ̉mnyẗ كاملة kạmlẗ عدة ʿdẗ مرات mrạt في fy السنة" ạlsnẗ" وأنها wạ̉nhạ "تعمل "tʿml بشكل bsẖkl وثيق wtẖyq مع mʿ Australian Australian Signals Signals Directorate Directorate و w Australian Australian Cyber Cyber Security Security Centre Centre بشأن bsẖạ̉n الثغرات ạltẖgẖrạt المحتملة ạlmḥtmlẗ في fy تطبيقات tṭbyqạt الهواتف ạlhwạtf المحمولة" ạlmḥmwlẗ" [4]. [4].

Government Cybersecurity Framework Existed:** Services Australia claimed to undertake "full cyber assessments several times a year" and stated it "work[s] closely with the Australian Signals Directorate and Australian Cyber Security Centre on potential vulnerabilities on mobile applications" [4].

هذا hdẖạ يشير ysẖyr إلى ạ̹ly̱ أن ạ̉n الحكومة ạlḥkwmẗ كانت kạnt تمتلك tmtlk بالفعل bạlfʿl عمليات ʿmlyạt أمنية، ạ̉mnyẗ, رغم rgẖm أنها ạ̉nhạ لم lm تكن tkn كافية kạfyẗ للتعامل lltʿạml مع mʿ تقارير tqạryr الباحثين. ạlbạḥtẖyn. **2. **2.

This indicates the government did have cybersecurity processes in place, though they were not sufficient for handling researcher reports. **2.

امتلاك ạmtlạk بعض bʿḍ الوكالات ạlwkạlạt برامج brạmj إفصاح ạ̹fṣạḥ عن ʿn الثغرات:** ạltẖgẖrạt:** بينما bynmạ كانت kạnt Services Services Australia Australia تفتقر tftqr إلى ạ̹ly̱ برنامج brnạmj إفصاح ạ̹fṣạḥ عن ʿn الثغرات، ạltẖgẖrạt, كانت kạnt وكالات wkạlạt حكومية ḥkwmyẗ أخرى ạ̉kẖry̱ قد qd نفذتها. nfdẖthạ.

Some Agencies Had Vulnerability Disclosure Programs:** While Services Australia lacked a VDP, other Australian government agencies had implemented them.

كانت kạnt Department Department of of Home Home Affairs Affairs تمتلك tmtlk برنامج brnạmj إفصاح ạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt [6]، [6], وقدمت wqdmt Service Service NSW NSW برنامج brnạmj مكافآت mkạfật للعثور llʿtẖwr على ʿly̱ الأخطاء ạlạ̉kẖṭạʾ من mn خلال kẖlạl Bugcrowd Bugcrowd [7]. [7].

The Department of Home Affairs had a Vulnerability Disclosure Program in place [6], and Service NSW operated a bug bounty program through Bugcrowd [7].

هذا hdẖạ يشير ysẖyr إلى ạ̹ly̱ تنفيذ tnfydẖ غير gẖyr متسق mtsq عبر ʿbr الوكالات ạlwkạlạt بدلاً bdlạaⁿ من mn فشل fsẖl سياسي syạsy حكومي ḥkwmy شامل. sẖạml. **3. **3.

This suggests inconsistent implementation across agencies rather than a government-wide policy failure. **3.

تقييم tqyym الخطورة:** ạlkẖṭwrẗ:** وصفت wṣft Services Services Australia Australia الهجوم ạlhjwm المطلوب ạlmṭlwb بأنه bạ̉nh يتطلب ytṭlb "معرفة "mʿrfẗ وخبرة wkẖbrẗ كبيرة" kbyrẗ" [4]، [4], مما mmạ يشير ysẖyr إلى ạ̹ly̱ أنها ạ̉nhạ نظرت nẓrt إلى ạ̹ly̱ المخاطر ạlmkẖạṭr العملية ạlʿmlyẗ على ʿly̱ أنها ạ̉nhạ أقل ạ̉ql مما mmạ قد qd تشير tsẖyr إليه ạ̹lyh الثغرة ạltẖgẖrẗ النظرية. ạlnẓryẗ.

Severity Assessment:** Services Australia characterized the required attack as something that "require[s] significant knowledge and expertise" [4], suggesting they viewed the practical risk as lower than the theoretical vulnerability might suggest.

ومع wmʿ ذلك، dẖlk, هذا hdẖạ الدفاع ạldfạʿ ضعيف ḍʿyf — — يجب yjb معالجة mʿạljẗ الثغرات ạltẖgẖrạt الأمنية ạlạ̉mnyẗ بغض bgẖḍ النظر ạlnẓr عن ʿn تعقيد tʿqyd الهجوم. ạlhjwm. **4. **4.

However, this defense is weak—security vulnerabilities should be addressed regardless of attack complexity. **4.

إمكانية ạ̹mkạnyẗ التزوير ạltzwyr مقابل mqạbl العبث:** ạlʿbtẖ:** كانت kạnt الثغرة ạltẖgẖrẗ تتضمن ttḍmn جعل jʿl التطبيق ạltṭbyq يعرض yʿrḍ شهادة sẖhạdẗ زائفة zạỷfẗ (ثغرة (tẖgẖrẗ من mn جانب jạnb العميل) ạlʿmyl) بدلاً bdlạaⁿ من mn إنشاء ạ̹nsẖạʾ شهادات sẖhạdạt مزورة mzwrẗ ستجتاز stjtạz التحقق ạltḥqq من mn الخادم. ạlkẖạdm.

Forgeability vs.

أكد ạ̉kd تغريدة tgẖrydẗ نيلسون nylswn على ʿly̱ سهولة shwlẗ ثغرة tẖgẖrẗ العرض، ạlʿrḍ, لكن lkn هناك hnạk أدلة ạ̉dlẗ محدودة mḥdwdẗ على ʿly̱ إمكانية ạ̹mkạnyẗ خداع kẖdạʿ السجل ạlsjl الأساسي ạlạ̉sạsy [3]. [3]. **5. **5.

Tampering:** The vulnerability involved making the app display a false certificate (client-side vulnerability) rather than creating counterfeit certificates that would pass backend validation.

الجدول ạljdwl الزمني ạlzmny للإطلاق:** llạ̹ṭlạq:** تم tm تقديم tqdym شهادة sẖhạdẗ كوفيد-19 kwfyd-19 الرقمية ạlrqmyẗ بشكل bsẖkl عاجل ʿạjl نسبياً nsbyạaⁿ خلال kẖlạl ظروف ẓrwf الوباء ạlwbạʾ (أُطلقت (ạủṭlqt في fy منتصف mntṣf 2021) 2021) [8]. [8].

Nelson's own tweet emphasized the ease of the display vulnerability, but there's limited evidence the underlying registry could be spoofed [3]. **5.

هذا hdẖạ السياق ạlsyạq لا lạ يبرر ybrr النواقص ạlnwạqṣ الأمنية، ạlạ̉mnyẗ, لكنه lknh يفسر yfsr بعض bʿḍ الضغوط ạlḍgẖwṭ للنشر llnsẖr بسرعة. bsrʿẗ.

Timeline of Rollout:** The COVID-19 digital certificate was introduced relatively hastily during pandemic conditions (rolled out in mid-2021) [8].

تقييم مصداقية المصدر

### ### الْمُصَادَرَ ạlmṣạdr الْأَصْلِيَّةَ ạlạ̉ṣlyẗ

### Original Sources

**ريتشارد **rytsẖạrd نيلسون nylswn (مقال (mqạl Medium):** Medium):** - - باحث bạḥtẖ أمني ạ̉mny موثوق mwtẖwq بخبرة bkẖbrẗ تقنية tqnyẗ مثبت؛ mtẖbt; مقالاته mqạlạth الأخرى ạlạ̉kẖry̱ على ʿly̱ Medium Medium تظهر tẓhr معرفة mʿrfẗ تقنية tqnyẗ عميقة ʿmyqẗ بأنظمة bạ̉nẓmẗ الأمن ạlạ̉mn الحكومية ạlḥkwmyẗ (تحليل (tḥlyl COVIDSafe، COVIDSafe, هندسة hndsẗ عكسية ʿksyẗ لرخصة lrkẖṣẗ القيادة ạlqyạdẗ في fy Service Service NSW) NSW) [1] [1] - - رواية rwạyẗ شخصية sẖkẖṣyẗ لمحاولة lmḥạwlẗ الإفصاح ạlạ̹fṣạḥ المسؤول؛ ạlmsw̉wl; يبذل ybdẖl جهداً jhdạaⁿ حقيقياً ḥqyqyạaⁿ لاتباع lạtbạʿ الإجراءات ạlạ̹jrạʾạt المناسبة ạlmnạsbẗ قبل qbl النشر ạlnsẖr العام ạlʿạm [1] [1] - - شفاف sẖfạf بشأن bsẖạ̉n إحباطه ạ̹ḥbạṭh وحالته wḥạlth العاطفية؛ ạlʿạṭfyẗ; يعترف yʿtrf بصعوبة bṣʿwbẗ موقفه mwqfh [1] [1] - - يبدو ybdw أنه ạ̉nh مدفوع mdfwʿ بالأمن bạlạ̉mn العام، ạlʿạm, وليس wlys بالسياسة bạlsyạsẗ الحزبية؛ ạlḥzbyẗ; لا lạ توجد twjd أدلة ạ̉dlẗ على ʿly̱ توجه twjh سياسي syạsy نحو nḥw حزب ḥzb Labor Labor [1] [1] **ZDNet **ZDNet (مقال (mqạl كامبل kạmbl كوان):** kwạn):** - - منفذ mnfdẖ إخباري ạ̹kẖbạry تقني tqny رئيسي rỷysy بمعايير bmʿạyyr تحريرية tḥryryẗ [9] [9] - - يغطي ygẖṭy جلسات jlsạt Budget Budget Estimates، Estimates, وهي why سجلات sjlạt عامة ʿạmẗ موثقة mwtẖqẗ [4] [4] - - يقتبس yqtbs تصريحات tṣryḥạt الحكومة ạlḥkwmẗ بدقة؛ bdqẗ; الاقتباسات ạlạqtbạsạt قابلة qạblẗ للتحقق lltḥqq [4] [4] - - كامبل kạmbl كوان kwạn مساهم msạhm منتظم mntẓm في fy قضايا qḍạyạ التكنولوجيا ạltknwlwjyạ الحكومية ạlḥkwmyẗ [9] [9] - - ومع wmʿ ذلك، dẖlk, يؤكد yw̉kd المقال ạlmqạl على ʿly̱ انتقادات ạntqạdạt أعضاء ạ̉ʿḍạʾ مجلس mjls الشيوخ ạlsẖywkẖ من mn حزب ḥzb Labor Labor ولا wlạ يستكشف ystksẖf بعمق bʿmq مبررات mbrrạt الحكومة ạlḥkwmẗ أو ạ̉w السياق ạlsyạq المخفف ạlmkẖff

**Richard Nelson (Medium article):** - Credible security researcher with demonstrable expertise; his other Medium articles show deep technical knowledge of government security systems (COVIDSafe analysis, Service NSW driver license reverse engineering) [1] - Personal account of attempting responsible disclosure; makes genuine effort to follow proper procedures before going public [1] - Transparent about his frustration and emotional state; acknowledges the difficulty of his position [1] - Appears motivated by public security, not partisan politics; no evidence of political alignment toward Labor [1] **ZDNet (Campbell Kwan article):** - Mainstream technology news outlet with editorial standards [9] - Reports on Budget Estimates proceedings, which are documented public records [4] - Accurately cites the government's own statements; quotes are verifiable [4] - Campbell Kwan is a regular contributor on government technology issues [9] - However, the article emphasizes criticism from Labor senators and doesn't deeply explore government rationale or mitigating context

### ### تَقْيِيمَ tqyym التَّحَيُّزِ ạltḥyz

### Bias Assessment

لا lạ يبدو ybdw أن ạ̉n أي ạ̉y من mn المصادر ạlmṣạdr مدفوعة mdfwʿẗ أساساً ạ̉sạsạaⁿ بالتحيز bạltḥyz الحزبي، ạlḥzby, رغم rgẖm أن ạ̉n مقال mqạl ZDNet ZDNet يعطي yʿṭy أهمية ạ̉hmyẗ لانتقادات lạntqạdạt أعضاء ạ̉ʿḍạʾ مجلس mjls الشيوخ ạlsẖywkẖ من mn حزب ḥzb Labor Labor في fy سياق syạq Budget Budget Estimates Estimates الفيدرالي. ạlfydrạly.

Neither source appears primarily motivated by partisan bias, though the ZDNet article gives prominence to Labor senators' criticisms in a federal Budget Estimates context.

المصادر ạlmṣạdr واقعية wạqʿyẗ وقابلة wqạblẗ للتحقق، lltḥqq, رغم rgẖm أنها ạ̉nhạ تؤكد tw̉kd على ʿly̱ فشل fsẖl الحكومة ạlḥkwmẗ بدلاً bdlạaⁿ من mn تقديم tqdym سياق syạq متوازن. mtwạzn.

The sources are factual and verifiable, though they emphasize government failures rather than providing balanced context.

هذا hdẖạ مناسب mnạsb للتقارير lltqạryr الأمنية ạlạ̉mnyẗ — — كانت kạnt الثغرة ạltẖgẖrẗ حقيقية ḥqyqyẗ والاستجابة wạlạstjạbẗ غير gẖyr كافية kạfyẗ — — لكن lkn الإطار ạlạ̹ṭạr متأصل mtạ̉ṣl في fy الانتقاد ạlạntqạd بدلاً bdlạaⁿ من mn الحياد. ạlḥyạd.

This is appropriate for security reporting—the vulnerability was real and the response was inadequate—but the framing is inherently critical rather than neutral.

⚖️

مقارنة حزب العمال

**هل **hl واجه wạjh حزب ḥzb Labor Labor مشاكل msẖạkl أمنية ạ̉mnyẗ كبيرة kbyrẗ في fy أنظمة ạ̉nẓmẗ الصحة ạlṣḥẗ الرقمية؟** ạlrqmyẗ?** البحث ạlbḥtẖ المُجرى: ạlmujry̱: "حكومة "ḥkwmẗ Labor Labor نظام nẓạm صحة ṣḥẗ رقمي rqmy أسترالي ạ̉strạly أمن ạ̉mn المعلومات ạlmʿlwmạt خرق kẖrq الخصوصية ạlkẖṣwṣyẗ MyHealth MyHealth Records" Records" يُظهر yuẓhr تعامل tʿạml حزب ḥzb Labor Labor مع mʿ نظام nẓạm My My Health Health Record Record سابقة sạbqẗ ذات dẖạt صلة. ṣlẗ.

**Did Labor have significant cybersecurity issues with digital health systems?** Search conducted: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records" Labor's handling of the My Health Record system shows relevant precedent.

تم tm تقديم tqdym My My Health Health Record Record من mn قبل qbl حكومة ḥkwmẗ Labor Labor في fy 2012 2012 وأصبح wạ̉ṣbḥ مثيراً mtẖyrạaⁿ للجدل lljdl بشدة bsẖdẗ [10]. [10].

The My Health Record was introduced by the Labor government in 2012 and became highly controversial [10].

واجه wạjh النظام ạlnẓạm مخاوف mkẖạwf كبيرة kbyrẗ بشأن bsẖạ̉n الخصوصية، ạlkẖṣwṣyẗ, مما mmạ دفع dfʿ حزب ḥzb Labor Labor نفسه nfsh للمطالبة llmṭạlbẗ بتعليق btʿlyq الإطلاق ạlạ̹ṭlạq عندما ʿndmạ قامت qạmt Coalition Coalition بتوسيعه btwsyʿh [11]. [11].

The system faced significant privacy concerns, leading Labor itself to call for a suspension of the rollout when the Coalition expanded it [11].

أثار ạ̉tẖạr مفوض mfwḍ الخصوصية ạlkẖṣwṣyẗ مخاوف، mkẖạwf, وكان wkạn هناك hnạk رد rd فعل fʿl عنيف ʿnyf كبير kbyr من mn الجمهور ạljmhwr [10]. [10].

The Privacy Commissioner raised concerns, and there was substantial public backlash [10].

بينما bynmạ يمثل ymtẖl هذا hdẖạ فشلاً fsẖlạaⁿ سياسياً syạsyạaⁿ أوسع ạ̉wsʿ (تصميم (tṣmym معيب mʿyb منذ mndẖ البداية) ạlbdạyẗ) بدلاً bdlạaⁿ من mn قضية qḍyẗ إفصاح ạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt الأمنية ạlạ̉mnyẗ تحديداً، tḥdydạaⁿ, إلا ạ̹lạ أنه ạ̉nh يُظهر yuẓhr أن ạ̉n حكومات ḥkwmạt Labor Labor واجهت wạjht أيضاً ạ̉yḍạaⁿ صعوبات ṣʿwbạt في fy حوكمة ḥwkmẗ نظام nẓạm الصحة ạlṣḥẗ الرقمي ạlrqmy والثقة wạltẖqẗ العامة ạlʿạmẗ في fy مجالات mjạlạt مماثلة. mmạtẖlẗ. **حادثة **ḥạdtẖẗ أمنية ạ̉mnyẗ قابلة qạblẗ للمقارنة:** llmqạrnẗ:** لا lạ توجد twjd أدلة ạ̉dlẗ على ʿly̱ أن ạ̉n أنظمة ạ̉nẓmẗ الصحة ạlṣḥẗ الرقمية ạlrqmyẗ لحكومة lḥkwmẗ Labor Labor واجهت wạjht فجوات fjwạt مماثلة mmạtẖlẗ في fy سياسات syạsạt الإفصاح ạlạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt الأمنية ạlạ̉mnyẗ خلال kẖlạl فترة ftrẗ حكمهم ḥkmhm (2007-2013). (2007-2013).

While this represents a broader policy failure (flawed design from the start) rather than a cybersecurity vulnerability disclosure issue specifically, it demonstrates that Labor governments have also struggled with digital health system security and public trust in similar areas. **Comparable Cybersecurity Incident:** There is no evidence of Labor government digital health systems facing similar cybersecurity vulnerability disclosure policy gaps during their period in government (2007-2013).

ومع wmʿ ذلك، dẖlk, يبدو ybdw أن ạ̉n الموضوع ạlmwḍwʿ الأوسع ạlạ̉wsʿ للحوكمة llḥwkmẗ الأمنية ạlạ̉mnyẗ الرقمية ạlrqmyẗ غير gẖyr الكافية ạlkạfyẗ هو hw قضية qḍyẗ حكومة ḥkwmẗ أسترالية ạ̉strạlyẗ نظامية nẓạmyẗ عبر ʿbr الأحزاب ạlạ̉ḥzạb بدلاً bdlạaⁿ من mn كونها kwnhạ فريدة frydẗ لـ l Coalition. Coalition.

However, the broader theme of inadequate digital security governance appears to be a systemic Australian government issue across parties rather than unique to the Coalition.

🌐

منظور متوازن

**موقف **mwqf الحكومة:** ạlḥkwmẗ:** حافظت ḥạfẓt Services Services Australia Australia على ʿly̱ أن ạ̉n نظام nẓạm الشهادة ạlsẖhạdẗ الرقمية ạlrqmyẗ لكوفيد-19 lkwfyd-19 تضمن tḍmn طبقات ṭbqạt أمنية ạ̉mnyẗ متعددة mtʿddẗ وأن wạ̉n الثغرة ạltẖgẖrẗ التي ạlty اكتُشفت ạktusẖft تتطلب ttṭlb "معرفة "mʿrfẗ وخبرة wkẖbrẗ كبيرة" kbyrẗ" للاستغلال llạstgẖlạl [4]. [4].

**Government's Position:** Services Australia maintained that the COVID-19 digital certificate system included multiple security layers and that the vulnerability discovered required "significant knowledge and expertise" to exploit [4].

أكدت ạ̉kdt الوكالة ạlwkạlẗ على ʿly̱ أنها ạ̉nhạ كانت kạnt تتعاون ttʿạwn مع mʿ Australian Australian Signals Signals Directorate Directorate وتجري wtjry تقييمات tqyymạt أمنية ạ̉mnyẗ دورية dwryẗ [4]. [4].

The agency emphasized it was cooperating with the Australian Signals Directorate and conducting regular cyber assessments [4].

كانت kạnt وجهة wjhẗ نظر nẓr الحكومة ạlḥkwmẗ هي hy أنه ạ̉nh على ʿly̱ الرغم ạlrgẖm من mn أن ạ̉n الثغرة ạltẖgẖrẗ يجب yjb معالجتها، mʿạljthạ, إلا ạ̹lạ أنها ạ̉nhạ لم lm تكن tkn فشلاً fsẖlạaⁿ حرجاً ḥrjạaⁿ يتطلب ytṭlb إعادة ạ̹ʿạdẗ تنظيم tnẓym فورية fwryẗ للنظام llnẓạm بأكمله. bạ̉kmlh. **وجهة **wjhẗ نظر nẓr خبير kẖbyr الأمن:** ạlạ̉mn:** موقف mwqf ريتشارد rytsẖạrd نيلسون nylswn منطقي mnṭqy من mn منظور mnẓwr حوكمة ḥwkmẗ الأمن: ạlạ̉mn: حتى ḥty̱ لو lw كانت kạnt الثغرة ạltẖgẖrẗ تتطلب ttṭlb خبرة kẖbrẗ للاستغلال، llạstgẖlạl, يجب yjb أن ạ̉n تتوفر ttwfr قنوات qnwạt مناسبة mnạsbẗ للإفصاح llạ̹fṣạḥ المسؤول. ạlmsw̉wl.

The government's perspective was that while the vulnerability should be addressed, it was not a critical failure requiring immediate overhaul of the entire system. **Security Expert Perspective:** Richard Nelson's position is well-reasoned from a security governance standpoint: even if a vulnerability requires expertise to exploit, proper channels for responsible disclosure should exist.

يجادل yjạdl بأن bạ̉n هذه hdẖh ممارسة mmạrsẗ قياسية qyạsyẗ في fy الصناعة ạlṣnạʿẗ وأن wạ̉n غياب gẖyạb مثل mtẖl هذه hdẖh القنوات ạlqnwạt هو hw ما mạ أجبره ạ̉jbrh على ʿly̱ جعل jʿl القضية ạlqḍyẗ عامة ʿạmẗ [1]. [1].

He argues this is standard industry practice and that the absence of such channels is what forced him to make the issue public [1].

هذا hdẖạ قلق qlq مشروع msẖrwʿ حول ḥwl نضج nḍj الأمن ạlạ̉mn المؤسسي، ạlmw̉ssy, وليس wlys فقط fqṭ حول ḥwl وجود wjwd أي ạ̉y ثغرة tẖgẖrẗ فردية. frdyẗ. **قضية **qḍyẗ نظامية nẓạmyẗ مقابل mqạbl نية nyẗ خبيثة:** kẖbytẖẗ:** تشير tsẖyr الأدلة ạlạ̉dlẗ إلى ạ̹ly̱ أن ạ̉n هذا hdẖạ كان kạn فشلاً fsẖlạaⁿ حكومياً ḥkwmyạaⁿ نظامياً nẓạmyạaⁿ (غياب (gẖyạb عمليات ʿmlyạt رسمية) rsmyẗ) بدلاً bdlạaⁿ من mn إهمال ạ̹hmạl أو ạ̉w نية nyẗ خبيثة. kẖbytẖẗ.

This is a legitimate concern about institutional security maturity, not just about the existence of any single vulnerability. **Systemic Issue vs.

أظهرت ạ̉ẓhrt Services Services Australia Australia إدراكاً ạ̹drạkạaⁿ لمخاوف lmkẖạwf الأمن ạlạ̉mn وأجرت wạ̉jrt تقييمات tqyymạt [4]. [4].

Malicious Intent:** The evidence suggests this was primarily a systemic governance failure (lack of formal processes) rather than negligence or malicious intent.

كان kạn الفشل ạlfsẖl في fy عدم ʿdm وجود wjwd قنوات qnwạt أنشأت، ạ̉nsẖạ̉t, معلنة mʿlnẗ على ʿly̱ نطاق nṭạq واسع، wạsʿ, مستجيبة mstjybẗ للباحثين llbạḥtẖyn للإبلاغ llạ̹blạgẖ عن ʿn الثغرات ạltẖgẖrạt — — قضية qḍyẗ متعلقة mtʿlqẗ بالعملية bạlʿmlyẗ بدلاً bdlạaⁿ من mn القضية ạlqḍyẗ التقنية. ạltqnyẗ. **سياق **syạq ممارسة mmạrsẗ الصناعة:** ạlṣnạʿẗ:** أصبحت ạ̉ṣbḥt برامج brạmj الإفصاح ạlạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt (VDPs) (VDPs) ومكافآت wmkạfật العثور ạlʿtẖwr على ʿly̱ الأخطاء ạlạ̉kẖṭạʾ (bug (bug bounties) bounties) ممارسة mmạrsẗ قياسية qyạsyẗ متزايدة mtzạydẗ عبر ʿbr شركات sẖrkạt التكنولوجيا ạltknwlwjyạ الكبرى، ạlkbry̱, وعلى wʿly̱ نحو nḥw متزايد، mtzạyd, الوكالات ạlwkạlạt الحكومية. ạlḥkwmyẗ.

Services Australia demonstrated awareness of security concerns and was conducting assessments [4].

نشرت nsẖrt ASD ASD و w Cyber.gov.au Cyber.gov.au إرشادات ạ̹rsẖạdạt حول ḥwl تنفيذ tnfydẖ برامج brạmj الإفصاح ạlạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt [12]. [12].

The failure was in not having established, well-publicized, responsive channels for researchers to report vulnerabilities—a process issue rather than a technical issue. **Industry Practice Context:** Vulnerability disclosure programs (VDPs) and bug bounties have become industry standard practice across major tech companies and, increasingly, government agencies.

بحلول bḥlwl 2021، 2021, كان kạn غياب gẖyạb برنامج brnạmj رسمي rsmy للإفصاح llạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt لنظام lnẓạm سلامة slạmẗ كوفيد kwfyd العام ạlʿạm يتأخر ytạ̉kẖr بشكل bsẖkl ملحوظ mlḥwẓ عن ʿn أفضل ạ̉fḍl الممارسات ạlmmạrsạt الحالية، ạlḥạlyẗ, رغم rgẖm أنه ạ̉nh لم lm يكن ykn فريداً frydạaⁿ لأستراليا lạ̉strạlyạ أو ạ̉w حكومة ḥkwmẗ Coalition Coalition في fy ذلك dẖlk الوقت. ạlwqt. **السياق **ạlsyạq الرئيسي:** ạlrỷysy:** قضية qḍyẗ الإفصاح ạlạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt الأمنية ạlạ̉mnyẗ تستحق tstḥq النقد ạlnqd بصدق bṣdq وتمثل wtmtẖl فشلاً fsẖlạaⁿ في fy اتباع ạtbạʿ أفضل ạ̉fḍl ممارسات mmạrsạt الأمن ạlạ̉mn السيبراني ạlsybrạny الراسخة. ạlrạskẖẗ.

The ASD and Cyber.gov.au have published guidance on implementing VDPs [12].

ومع wmʿ ذلك، dẖlk, ليس lys من mn الواضح ạlwạḍḥ أن ạ̉n هذا hdẖạ كان kạn فريداً frydạaⁿ لاستجابة lạstjạbẗ Coalition Coalition لكوفيد lkwfyd أو ạ̉w أن ạ̉n حكومات ḥkwmạt Labor Labor كانت kạnt ستتعامل sttʿạml معه mʿh بشكل bsẖkl مختلف mkẖtlf — — تُظهر tuẓhr قضية qḍyẗ My My Health Health Record Record أن ạ̉n نظام nẓạm الصحة ạlṣḥẗ الرقمي ạlrqmy كان kạn يمثل ymtẖl تحدياً tḥdyạaⁿ عبر ʿbr الأحزاب. ạlạ̉ḥzạb.

By 2021, the absence of a formal VDP for a public-facing COVID safety system was notably behind current best practices, though it wasn't unique to Australia or the Coalition government at that time. **Key context:** The vulnerability disclosure issue is genuinely problematic and represents a failure to follow established cybersecurity best practices.

صحيح جزئياً

6.0

من 10

الحقائق ạlḥqạỷq المحددة ạlmḥddẗ حول ḥwl غياب gẖyạb برنامج brnạmj الإفصاح ạlạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt في fy Services Services Australia Australia وصعوبة wṣʿwbẗ الإبلاغ ạlạ̹blạgẖ عن ʿn الثغرات ạltẖgẖrạt **دقيقة **dqyqẗ ومؤكدة**. wmw̉kdẗ**.

The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.

ومع wmʿ ذلك، dẖlk, تتطلب ttṭlb المزاعم ạlmzạʿm الأوسع ạlạ̉wsʿ توضيحاً: twḍyḥạaⁿ: 1. 1. ✅ ✅ **صحيح:** **ṣḥyḥ:** لم lm تكن tkn Services Services Australia Australia تمتلك tmtlk برنامج brnạmj إفصاح ạ̹fṣạḥ عن ʿn الثغرات ạltẖgẖrạt وصرحت wṣrḥt صراحةً ṣrạḥẗaⁿ بعدم bʿdm وجود wjwd خطط kẖṭṭ لتنفيذ ltnfydẖ واحد wạḥd [4] [4] 2. 2. ✅ ✅ **صحيح:** **ṣḥyḥ:** كان kạn الإبلاغ ạlạ̹blạgẖ عن ʿn الثغرات ạltẖgẖrạt صعباً ṣʿbạaⁿ بشكل bsẖkl غير gẖyr ضروري ḍrwry ولم wlm تكن tkn هناك hnạk عملية ʿmlyẗ فعالة fʿạlẗ [1] [1] 3. 3. ✅ ✅ **صحيح:** **ṣḥyḥ:** كانت kạnt الاستجابة ạlạstjạbẗ بطيئة bṭyỷẗ وتسارعت wtsạrʿt فقط fqṭ بعد bʿd الإفصاح ạlạ̹fṣạḥ العام ạlʿạm [1] [1] 4. 4. ⚠️ ⚠️ **صحيح **ṣḥyḥ جزئياً:** jzỷyạaⁿ:** مزاعم mzạʿm "عدم "ʿdm اتباع ạtbạʿ أفضل ạ̉fḍl ممارسات mmạrsạt الأمن ạlạ̉mn السيبراني" ạlsybrạny" صحيحة، ṣḥyḥẗ, لكن lkn الحكومة ạlḥkwmẗ كانت kạnt تجري tjry تقييمات tqyymạt أمنية ạ̉mnyẗ وتعمل wtʿml مع mʿ ASD؛ ASD; كان kạn الفشل ạlfsẖl تحديداً tḥdydạaⁿ في fy عمليات ʿmlyạt الإفصاح ạlạ̹fṣạḥ العام ạlʿạm عن ʿn الثغرات، ạltẖgẖrạt, وليس wlys جميع jmyʿ ممارسات mmạrsạt الأمن ạlạ̉mn السيبراني ạlsybrạny [4] [4] 5. 5. ⚠️ ⚠️ **إطار **ạ̹ṭạr مضلل:** mḍll:** التلميح ạltlmyḥ في fy المزاعم ạlmzạʿm بأن bạ̉n هذا hdẖạ كان kạn سوء swʾ إدارة ạ̹dạrẗ فريداً frydạaⁿ وبالغاً wbạlgẖạaⁿ في fy عهد ʿhd Coalition Coalition غير gẖyr مدعوم mdʿwm جيداً. jydạaⁿ.

However, the broader claim requires qualification: 1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4] 2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1] 3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1] 4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4] 5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.

واجهت wạjht مشاريع msẖạryʿ الصحة ạlṣḥẗ الرقمية ạlrqmyẗ لحكومة lḥkwmẗ Labor Labor (My (My Health Health Record) Record) مشاكل msẖạkl مماثلة mmạtẖlẗ في fy الحوكمة ạlḥwkmẗ والثقة wạltẖqẗ الأمنية ạlạ̉mnyẗ [10, [10, 11] 11] 6. 6. ⚠️ ⚠️ **سياق **syạq مفقود:** mfqwd:** خلال kẖlạl ظروف ẓrwf الوباء ạlwbạʾ في fy 2021، 2021, تنافس tnạfs النشر ạlnsẖr السريع ạlsryʿ للبنية llbnyẗ التحتية ạltḥtyẗ الصحية ạlṣḥyẗ العامة ạlʿạmẗ أحياناً ạ̉ḥyạnạaⁿ مع mʿ نضج nḍj الأمن؛ ạlạ̉mn; هذا hdẖạ لا lạ يبرر ybrr الفشل ạlfsẖl لكنه lknh يوفر ywfr السياق ạlsyạq الحكم ạlḥkm هو hw أن ạ̉n الحقائق ạlḥqạỷq الأساسية ạlạ̉sạsyẗ سليمة slymẗ والنقد wạlnqd مشروع، msẖrwʿ, لكن lkn الإطار ạlạ̹ṭạr يبالغ ybạlgẖ في fy التفرد ạltfrd أو ạ̉w الخطورة ạlkẖṭwrẗ دون dwn الاعتراف ạlạʿtrạf بالقضايا bạlqḍạyạ المقارنة ạlmqạrnẗ في fy حوكمة ḥwkmẗ الصحة ạlṣḥẗ الرقمية ạlrqmyẗ لحزب lḥzb Labor. Labor.

Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11] 6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.

النتيجة النهائية

6.0

من 10

صحيح جزئياً

The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.