Wahr

Bewertung: 7.0/10

Problem melden
Coalition
C0161

Die Behauptung

“Entschied, eine Sicherheitslücke in myGovID zu ignorieren und nicht zu beheben, die entstand, weil das gewählte Authentifizierungsprotokoll maßgeschneidert ist und nicht dem Standard entspricht.”
Cybersicherheit Technologie
Originalquelle: Matthew Davis
Analysiert: 29 Jan 2026

Originalquellen

FAKTENÜBERPRÜFUNG

### myGovID-Sicherheitslücke Code-Replay-Angriff
### myGovID Security Vulnerability - Code Replay Attack
 Die Behauptung bezieht sich auf eine reale Sicherheitslücke in myGovID.
The claim references a real security vulnerability identified in myGovID.
 Im August 2024 entdeckten die Sicherheitsforscher Ben Frengley (Universität Melbourne) und Vanessa Teague (Geschäftsführerin von Thinking Cybersecurity, außerordentliche Professorin an der ANU) eine kritische Schwachstelle im Authentifizierungssystem von myGovID [1].
In August 2024, security researchers Ben Frengley (University of Melbourne) and Vanessa Teague (CEO of Thinking Cybersecurity, ANU adjunct professor) discovered a critical vulnerability in myGovID's authentication system [1].
 Die Schwachstelle ist ein **Code-Replay-Angriff**, der einen grundlegenden Designfehler ausnutzt.
The vulnerability is a **code replay attack** that exploits a fundamental design flaw.
 Ein Angreifer kann eine gefälschte Website einrichten und die E-Mail-Adresse eines Benutzers abfangen.
An attacker can set up a fake website and capture a user's email address.
 Wenn der Angreifer die Authentifizierung beim legitimen Regierungsportal mit der E-Mail des Opfers einleitet, zeigt das Portal eine 4-stellige PIN an.
When the attacker initiates authentication at a legitimate government portal using the victim's email, the portal displays a 4-digit PIN.
 Der Angreifer leitet diese PIN über die gefälschte Seite an das Opfer weiter, und wenn das Opfer sie in der myGovID-App eingibt, gewährt es dem Angreifer unwissentlich vollen Zugriff auf legitime Regierungskonten.
The attacker relays this PIN to the victim through the fake site, and when the victim enters it into their myGovID app, they unknowingly grant the attacker full access to legitimate government accounts.
 Eine kritische Designschwäche ist, dass die myGovID-App **keinen Hinweis darauf gibt, welche Organisation die Authentifizierung anfordert** [2].
A critical design weakness is that the myGovID app provides **no indication of which organization is requesting authentication** [2].
 Die Forscher meldeten diese Schwachstelle am 19.
The researchers reported this vulnerability to the Australian Signals Directorate (ASD) on August 19, 2024 [3].
 August 2024 dem Australian Signals Directorate (ASD) [3].
According to industry best practice, they proposed a 90-day responsible disclosure period to allow the government time to develop and implement a fix before public disclosure [1].
 Entsprechend den branchenüblichen Best Practices schlugen sie eine 90-tägige Responsible-Disclosure-Frist vor, um der Regierung Zeit zur Entwicklung und Umsetzung einer Lösung zu geben, bevor die Öffentlichkeit informiert wird [1].
### Government's Response: Refusal to Fix
 ### Reaktion der Regierung: Verweigerung der Behebung
On September 18, 2024, the Australian Taxation Office (ATO) met with the researchers and explicitly stated it **"did not intend to change the protocol"** [3].
 Am 18.
This means the government declined to remediate the vulnerability.
 September 2024 traf sich die Australian Taxation Office (ATO) mit den Forschern und erklärte ausdrücklich, sie habe **„nicht die Absicht, das Protokoll zu ändern"** [3].
Additionally, the ATO characterized the vulnerability as "more of a public awareness issue" rather than a technical flaw requiring protocol changes [3].
 Das bedeutet, dass die Regierung die Behebung der Schwachstelle ablehnte.
The ATO also issued statements claiming myGovID was "more secure than any credential," dismissing researcher concerns [4].
 Darüber hinaus charakterisierte die ATO die Schwachstelle als „eher ein Bewusstseinsproblem der Öffentlichkeit" als einen technischen Fehler, der Protokolländerungen erfordere [3].
After the government refused to fix the vulnerability, the researchers went public on September 21, 2024 - publishing their findings despite having proposed a responsible disclosure period [2].
 Die ATO gab auch Erklärungen ab, wonach myGovID „sicherer als jede andere Berechtigung" sei und wies die Bedenken der Forscher zurück [4].
The security researchers explicitly warned the public not to use myGovID until the login flaw was fixed [1].
 Nachdem die Regierung die Behebung der Schwachstelle abgelehnt hatte, gingen die Forscher am 21.
### Supporting Evidence from Ombudsman
 September 2024 an die Öffentlichkeit und veröffentlichten ihre Ergebnisse, obwohl sie eine Responsible-Disclosure-Frist vorgeschlagen hatten [2].
In August 2024, the Australian Ombudsman published the "Keeping myGov Secure" report, which identified multiple security deficiencies in myGov/myGovID systems, including inconsistent proof-of-identity standards, limited security controls for unauthorized account linking, and instances of fraudsters redirecting pension payments and submitting false benefit claims [5].
 Die Sicherheitsforscher warnten die Öffentlichkeit ausdrücklich davor, myGovID zu nutzen, bis der Anmeldefehler behoben sei [1].
Services Australia agreed to these recommendations in late July 2024 but deferred implementation to early 2025, indicating no immediate action was taken on urgent security matters [5].
 ### Unterstützende Beweise vom Ombudsman
Im August 2024 veröffentlichte der Ombudsman den Bericht „Keeping myGov Secure", der mehrere Sicherheitsmängel in den myGov/myGovID-Systemen identifizierte, darunter inkonsistente Identitätsnachweisstandards, begrenzte Sicherheitskontrollen für unautorisiertes Verknüpfen von Konten und Fälle, in denen Betrüger Rentenzahlungen umgeleitet und falsche Leistungsansprüche eingereicht hatten [5].
Services Australia stimmte diesen Empfehlungen Ende Juli 2024 zu, verschob die Umsetzung jedoch auf Anfang 2025, was darauf hindeutet, dass keine sofortigen Maßnahmen bei dringenden Sicherheitsfragen ergriffen wurden [5].

Fehlender Kontext

### 1. Das „maßgeschneiderte" Authentifizierungsprotokoll ist korrekt
### 1. The "Bespoke" Authentication Protocol is Accurate
 Die Behauptung charakterisiert das Authentifizierungsprotokoll von myGovID zutreffend als nicht dem Standard entsprechend. myGovID verwendet das **Trusted Digital Identity Framework (TDIF)**, das ein proprietäres, maßgeschneidertes System speziell für Australien ist nicht OpenID Connect, OAuth 2.0 oder andere international anerkannte Standards [6].
The claim accurately characterizes myGovID's authentication protocol as non-standard. myGovID uses the **Trusted Digital Identity Framework (TDIF)**, which is a proprietary, bespoke system specific to Australia - not OpenID Connect, OAuth 2.0, or other internationally recognized standards [6].
 Sicherheitsforscher haben empfohlen, dass das TDIF-Framework eingestellt und durch Standardprotokolle wie OpenID Connect ersetzt werden sollte [2].
Security researchers have recommended that the TDIF framework be deprecated and replaced with standard protocols like OpenID Connect [2].
 ### 2. Unterschied zwischen Protokolldesign und Implementierungsproblemen
### 2. Protocol Design vs. Implementation Issues
 Obwohl die Schwachstelle existiert, ist eine technische Unterscheidung erwähnenswert: Der grundlegende Fehler scheint vom Design des Protokolls zu stammen (das Fehlen von Kontext darüber, wer die Authentifizierung in der myGovID-App anfordert), nicht unbedingt von Implementierungsfehlern.
While the vulnerability exists, there is a technical distinction worth noting: the fundamental flaw appears to stem from the protocol's design (the lack of context about who is requesting authentication in the myGovID app), not necessarily implementation errors.
 Diese Unterscheidung mindert jedoch nicht die Gültigkeit der Behauptung ein fehlerhaftes Protokolldesign ist immer noch ein Fehler, der behoben werden muss.
However, this distinction does not diminish the validity of the claim - a flawed protocol design is still a flaw that requires fixing.
 ### 3. Zeitplan und Kontext
### 3. Timeline and Context
 Die Entdeckung der Schwachstelle erfolgte gegen Ende der Amtszeit der Koalitionsregierung.
The vulnerability discovery occurred late in the Coalition government's tenure.
 Die Koalition wurde im Mai 2022 abgewählt.
The Coalition was voted out of office in May 2022.
 Die Schwachstelle wurde im August 2024 von der Albanese-Labor-Regierung entdeckt.
The vulnerability was discovered in August 2024 by the Albanese Labor government.
 Das bedeutet: - Die Koalitionsregierung (2013–2022) hätte nicht die Entscheidung vom September 2024 getroffen, die Behebung abzulehnen - Die aktuelle (Labor-)Regierung übernahm myGovID und traf die Entscheidung, das Protokoll nicht zu ändern [3] Die Behauptung könnte sich jedoch auf die ursprüngliche Entscheidung der Koalitionsregierung beziehen, myGovID unter Verwendung eines maßgeschneiderten, nicht dem Standard entsprechenden Protokolls zu entwickeln und einzusetzen, anstatt etablierte Industriestandards zu nutzen eine Entscheidung, die während der Amtszeit der Koalition (2013–2022) getroffen wurde.
This means: - The Coalition government (2013-2022) would not have made the September 2024 decision to refuse remediation - The current (Labor) government inherited myGovID and made the decision not to change the protocol [3] However, the claim may be referring to the Coalition government's original decision to develop and deploy myGovID using a bespoke, non-standard protocol rather than established industry standards - which would have been a decision made during the Coalition's time in office (2013-2022).

Bewertung der Quellenglaubwürdigkeit

### Originalquelle: Thinking Cybersecurity
### Original Source: Thinking Cybersecurity
 Die angegebene Originalquelle (Thinking Cybersecurity) ist eine Organisation unter der Leitung von Vanessa Teague, einer der Forscher, die die Schwachstelle entdeckt haben.
The original source provided (Thinking Cybersecurity) is an organization led by Vanessa Teague, one of the researchers who discovered the vulnerability.
 Dies schafft eine direkte Quelle für die Schwachstelle selbst.
This creates a direct source on the vulnerability itself.
 Vanessa Teague ist: - Außerordentliche Professorin an der ANU und Sicherheitsforscherin - Eine glaubwürdige akademische Stimme in der Cybersicherheit - Hat peer-reviewed Arbeiten zur Wahlsicherheit und digitalen Systemen veröffentlicht [7] Als eine der Forscherinnen, die über ihre eigene Entdeckung berichten, besteht jedoch eine inhärente Voreingenommenheit zugunsten der Betonung des Schweregrads der Schwachstelle.
Vanessa Teague is: - An ANU adjunct professor and security researcher - A credible academic voice in cybersecurity - Has published peer-reviewed work on electoral security and digital systems [7] However, as one of the researchers reporting on their own finding, there is inherent bias in favor of emphasizing the vulnerability's severity.
 ### Primärquellen zu diesem Thema
### Primary Sources on This Issue
 Die zuverlässigsten Quellen sind: - **Technologie-Nachrichtenmedien** (iTnews, InnovationAus): Australische Mainstream-Tech-Journalismus über die Entdeckung der Schwachstelle und die Regierungsreaktion [1][3] - **Regierungsquellen** (Ombudsman-Bericht, ATO-Erklärungen): Offizielle Dokumentation von Sicherheitsbedenken und Regierungspositionen [4][5] - **Sicherheitsforschung** (Thinking Cybersecurity, technische Dokumentation der Forscher): Akademische und professionelle Sicherheitsanalyse [2] Die Behauptung wird gut durch Mainstream-Tech-Journalismus und Regierungsberichte gestützt, nicht primär durch eine einzelne parteipolitische Quelle.
The most reliable sources are: - **Technology news outlets** (iTnews, InnovationAus): Mainstream Australian tech journalism covering the vulnerability discovery and government response [1][3] - **Government sources** (Ombudsman report, ATO statements): Official documentation of security concerns and government positions [4][5] - **Security research** (Thinking Cybersecurity, researchers' technical documentation): Academic and professional security analysis [2] The claim is well-supported by mainstream technology journalism and government reports, not primarily dependent on a single partisan source.
⚖️

Labor-Vergleich

### Hat Labor ähnliche maßgeschneiderte Authentifizierungsansätze übernommen?
### Did Labor Adopt Similar Bespoke Authentication Approaches?
 Labor war nicht an der Regierung, als myGovID entwickelt wurde (die Koalition regierte 2013–2022).
Labor was not in government when myGovID was developed (Coalition governed 2013-2022).
 Die Labor-Regierung übernahm das myGovID-System, als sie im Mai 2022 das Amt übernahm. **Relevanter** ist jedoch der Vergleich: **Wie hat Labor auf die entdeckte Schwachstelle reagiert?** Wie oben erwähnt, wurde die Entscheidung, „nicht die Absicht zu haben, das Protokoll zu ändern" im September 2024 von der **ATO der Labor-Regierung** getroffen, nicht von der Koalition.
The Labor government inherited the myGovID system when they took office in May 2022. **However**, the more relevant comparison is: **How did Labor respond to the discovered vulnerability?** As noted above, the decision to "not intend to change the protocol" in September 2024 was made by the **Labor government's ATO**, not the Coalition.
 Dies deutet darauf hin, dass beide Regierungen (die Koalition für die ursprüngliche Entwicklung, Labor für die Reaktion auf die entdeckte Schwachstelle) fragwürdige Entscheidungen in Bezug auf die Cybersicherheit von myGovID getroffen haben.
This indicates both governments (Coalition for original development, Labor for response to the discovered vulnerability) made questionable cybersecurity decisions regarding myGovID.
 ### Labors Ansatz für digitale Identität
### Labor's Approach to Digital Identity
 Labor verfolgte die weitere Entwicklung von myGovID (im November 2024 in „myID" umbenannt) im Rahmen eines digitalen Identitätssystems.
Labor has pursued continued development of myGovID (rebranded as "myID" in November 2024) under a digital identity scheme.
 Labor hat das maßgeschneiderte TDIF-Framework nicht aufgegeben, sondern stattdessen weiterhin damit betrieben [8].
Labor has not abandoned the bespoke TDIF framework but instead continued operating within it [8].
 Dies deutet darauf hin, dass Labor möglicherweise eine gewisse Verantwortung trägt, die architektonische Schwachstelle nicht zu beheben, sobald sie unter ihrer Aufsicht entdeckt wurde.
This suggests Labor may bear some responsibility for not addressing the architectural vulnerability once it was discovered under their watch.
🌐

Ausgewogene Perspektive

### Die Designentscheidung der Koalition (2013–2022)
### The Coalition's Design Decision (2013-2022)
 Als die Koalitionsregierung beschloss, myGovID unter Verwendung eines proprietären, maßgeschneiderten Authentifizierungsprotokolls (TDIF) zu entwickeln, anstatt internationalen Standards wie OpenID Connect zu übernehmen, stellte dies eine fragwürdige architektonische Entscheidung dar.
When the Coalition government decided to develop myGovID using a proprietary, bespoke authentication protocol (TDIF) rather than adopting internationally standard protocols like OpenID Connect, this represented a questionable architectural decision.
 Die Gründe für diese Wahl waren wahrscheinlich: - Wunsch nach einer einzigartigen australischen Lösung, die auf spezifische Regierungsbedürfnisse zugeschnitten ist - Mögliche nationale Souveränitätsbedenken (nicht auf internationale Standards angewiesen sein) - Wahrgenommene Kontrolle über die Sicherheit und den Betrieb des Systems Sicherheitsexperten argumentieren jedoch, dass maßgeschneiderte Authentifizierungssysteme inhärent riskanter sind, weil sie: - Im Vergleich zu weit verbreiteten Standards nur begrenzte externe Sicherheitsüberprüfungen haben - Nicht von jahrelanger gemeinschaftlicher Schwachstellenerkennung und -behebung profitieren - Die Wahrscheinlichkeit von Designfehlern wie dem 2024 entdeckten erhöhen [2] **Standard-Sicherheitspraxis ist die Verwendung bewährter, weitgehend geprüfter Protokolle, es sei denn, es gibt einen zwingenden Grund, dies nicht zu tun.**
The reasons for this choice were likely: - Desire for a uniquely Australian solution tailored to specific government needs - Potential national sovereignty concerns (not relying on international standards) - Perceived control over the system's security and operations However, security experts argue that bespoke authentication systems are inherently riskier because they: - Have limited external security review compared to widely-used standards - Don't benefit from years of community vulnerability discovery and patching - Increase the chance of design flaws like the one discovered in 2024 [2] **Standard security practice is to use proven, widely-audited protocols unless there is a compelling reason not to.**
 ### Die Reaktion der Regierung auf die entdeckte Schwachstelle
### The Government's Response to the Discovered Vulnerability
 Problematischer als die ursprüngliche Designentscheidung war die Reaktion, als die Schwachstelle entdeckt wurde: **Während der Koalitionsregierung (2013–2022):** - Die Koalition hätte myGovID bereitgestellt und betrieben, aber die Schwachstelle wurde erst 2024 entdeckt (nach ihrem Machtverlust) **Während der Labor-Regierung (ab September 2024):** - Die ATO lehnte es ausdrücklich ab, die bekannte Schwachstelle zu beheben, und erklärte, sie habe „nicht die Absicht, das Protokoll zu ändern" - Die Regierung wies sie als „Bewusstseinsproblem der Öffentlichkeit" ab, nicht als technischen Designfehler - Es wurde keine Zeitplan- oder Behebungsplanung angekündigt - Das System wurde weiterhin mit der bekannten Schwachstelle betrieben
More problematic than the original design choice was the response when the vulnerability was discovered: **During Coalition government (2013-2022):** - The Coalition would have deployed and operated myGovID but the vulnerability wasn't discovered until 2024 (after their loss of office) **During Labor government (September 2024 onward):** - The ATO explicitly refused to fix the known vulnerability, stating they "did not intend to change the protocol" - The government dismissed it as a "public awareness issue" rather than a technical design flaw - No remediation timeline or plan was announced - The system continued to operate with the known vulnerability
 ### Experten- und institutionelle Perspektiven
### Expert and Institutional Perspectives
 Der Bericht des Ombudsmanns untermauert, dass die Sicherheit von myGov/myGovID unzureichend ist, wobei die Regierung erst 2025 zustimmte, die Mängel zu beheben [5].
The Ombudsman's report reinforces that myGov/myGovID security is inadequate, with the government only agreeing to address deficiencies in 2025 [5].
 Der Zeitplan deutet darauf hin, dass dies reaktiv war, nicht proaktive Sicherheitsführung.
The timing suggests this was reactive rather than proactive security governance.
 ### Vergleichende Regierungspraxis
### Comparative Government Practice
 Bekannte Sicherheitslücken in Authentifizierungssystemen zu ignorieren ist nicht die Standardpraxis bei verantwortungsvollen Regierungen.
Ignoring known security vulnerabilities in authentication systems is not standard practice across responsible governments.
 Der Standardansatz in der Branche ist: 1.
The standard industry approach is: 1.
 Anerkennung der Schwachstelle 2.
Acknowledge the vulnerability 2.
 Entwicklung eines Behebungsplans 3.
Develop a remediation plan 3.
 Umsetzung der Lösung innerhalb eines angemessenen Zeitrahmens 4. Öffentliche Kommunikation über die Lösung Die Reaktion der australischen Regierung (Ablehnung, den Designfehler des Protokolls zu beheben) entspricht nicht diesen Standards. **Wichtiger Kontext:** Weder die Koalition noch Labor haben eine starke Cybersicherheitsführung in Bezug auf myGovID gezeigt.
Implement the fix within a reasonable timeframe 4.
 Die Koalition schuf ein System unter Verwendung von Nicht-Standard-Protokollen, und Labor (die es übernahm) weigerte sich, es zu beheben, als Schwachstellen entdeckt wurden.
Publicly communicate the resolution The Australian government's response (refusing to fix the protocol design flaw) falls short of these standards. **Key context:** Neither the Coalition nor Labor has demonstrated strong cybersecurity governance regarding myGovID.
 Beide Entscheidungen scheinen von bürokratischer Trägheit und Unwilligkeit getrieben zu sein, systemische architektonische Fehler anzuerkennen.
The Coalition created a system using non-standard protocols, and Labor (which inherited it) refused to fix it when vulnerabilities were discovered.

WAHR

7.0

von 10

Die Behauptung ist in Bezug auf die myGovID-Schwachstelle und die Weigerung der Regierung, sie zu beheben, sachlich korrekt.
The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.
 Es gibt jedoch eine wichtige **zeitliche Klarstellung**: Die Entscheidung, die Behebung abzulehnen, wurde von der **Labor-Regierung im September 2024** getroffen, nicht von der Koalitionsregierung.
However, there is an important **temporal clarification**: The decision to refuse remediation was made by the **Labor government in September 2024**, not the Coalition government.
 Die Koalition (2013–2022) traf die ursprüngliche Entscheidung, ein maßgeschneidertes, nicht dem Standard entsprechendes Protokoll zu verwenden, das die architektonische Entscheidung war, die diese Schwachstelle ermöglichte.
The Coalition (2013-2022) made the original decision to use a bespoke, non-standard protocol, which was the architectural choice that enabled this vulnerability.
 Die Behauptung kann auf zwei Arten interpretiert werden: 1. **Wenn sie sich auf das ursprüngliche Protokolldesign bezieht (Koalitionsära 2013–2022):** WAHR Die Koalition wählte ein maßgeschneidertes Protokoll gegenüber bewährten Standards 2. **Wenn sie sich auf die Ablehnung der Behebung der entdeckten Schwachstelle 2024 bezieht:** WAHR, aber getroffen von der Labor-Regierung, nicht der Koalition Die Aussage „Entschied, zu ignorieren und nicht zu beheben" liest sich am natürlichsten als Bezugnahme auf die Weigerung, nach der Entdeckung zu beheben (September 2024), was eine Entscheidung der Labor-Regierung war, obwohl die zugrundeliegende architektonische Entscheidung von der Koalition getroffen wurde.
The claim could be interpreted two ways: 1. **If referring to original protocol design (Coalition era 2013-2022):** TRUE - The Coalition chose a bespoke protocol over proven standards 2. **If referring to the 2024 refusal to fix the discovered vulnerability:** TRUE but made by Labor government, not Coalition The statement "Chose to ignore and not fix" most naturally reads as referring to the refusal to remediate after discovery (September 2024), which was a Labor government decision, though the underlying architectural choice was made by the Coalition.

📚 QUELLEN UND ZITATE (8)

  1. 1
    itnews.com.au

    itnews.com.au

    ATO declines to change protocol.

    iTnews
  2. 2
    thinkingcybersecurity.com

    thinkingcybersecurity.com

    Thinkingcybersecurity

  3. 3
    innovationaus.com

    innovationaus.com

    Innovationaus

  4. 4
    accountantsdaily.com.au

    accountantsdaily.com.au

    From security concerns to clashes with workplace policies, the transition to myGovID has caused a few headaches within the profession, but the ATO believes worries are misplaced.

    Accountantsdaily Com
  5. 5
    PDF

    Keeping myGov Secure

    Ombudsman Gov • PDF Document
  6. 6
    architecture.digital.gov.au

    architecture.digital.gov.au

    Architecture Digital Gov

  7. 7
    cecs.anu.edu.au

    cecs.anu.edu.au

    Cecs Anu Edu

  8. 8
    ato.gov.au

    ato.gov.au

    Ato Gov

Bewertungsskala-Methodik

1-3: FALSCH

Sachlich falsch oder böswillige Fälschung.

4-6: TEILWEISE

Etwas Wahrheit, aber Kontext fehlt oder ist verzerrt.

7-9: GRÖSSTENTEILS WAHR

Kleine technische Details oder Formulierungsprobleme.

10: KORREKT

Perfekt verifiziert und kontextuell fair.

Methodik: Bewertungen werden durch Abgleich offizieller Regierungsdokumente, unabhängiger Faktenprüfungsorganisationen und Primärquellendokumente bestimmt.

Previous: C0160 Next: C0162