Αληθές

Βαθμολογία: 7.0/10

Αναφορά Προβλήματος
Coalition
C0161

Ο Ισχυρισμός

“Επέλεξε να αγνοήσει και να μην διορθώσει ένα κενό ασφαλείας στο myGovID, το οποίο προέκυψε επειδή το επιλεγμένο πρωτόκολλο πιστοποίησης είναι ειδικά κατασκευασμένο και δεν ανταποκρίνεται στις πρότυπες πρακτικές.”
Κυβερνοασφάλεια Τεχνολογία
Αρχική Πηγή: Matthew Davis
Αναλύθηκε: 29 Jan 2026

Αρχικές Πηγές

ΕΠΑΛΉΘΕΥΣΗ ΓΕΓΟΝΌΤΩΝ

### ### Κενό Kenó Ασφαλείας Asphaleías myGovID myGovID - - Επίθεση Epíthesē Επανάληψης Epanálēpsēs Κωδικού Kōdikoú
### myGovID Security Vulnerability - Code Replay Attack
 Ο O ισχυρισμός ischyrismós αναφέρεται anaphéretai σε se ένα éna πραγματικό pragmatikó κενό kenó ασφαλείας asphaleías που pou εντοπίστηκε entopístēke στο sto myGovID. myGovID. Τον Ton Αύγουστο Aúgousto του tou 2024, 2024, οι oi ερευνητές ereunētés ασφαλείας asphaleías Ben Ben Frengley Frengley (Πανεπιστήμιο (Panepistḗmio της tēs Μελβούρνης) Melboúrnēs) και kai Vanessa Vanessa Teague Teague (Διευθύνουσα (Dieuthýnousa Σύμβουλος Sýmboulos της tēs Thinking Thinking Cybersecurity, Cybersecurity, επίκουρη epíkourē καθηγήτρια kathēgḗtria του tou ANU) ANU) ανακάλυψαν anakálypsan ένα éna κρίσιμο krísimo κενό kenó ασφαλείας asphaleías στο sto σύστημα sýstēma πιστοποίησης pistopoíēsēs του tou myGovID myGovID [1]. [1]. Το To κενό kenó ασφαλείας asphaleías είναι eínai μια mia **επίθεση **epíthesē επανάληψης epanálēpsēs κωδικού** kōdikoú** που pou εκμεταλλεύεται ekmetalleúetai ένα éna θεμελιώδες themeliṓdes σφάλμα sphálma σχεδιασμού. schediasmoú. Ένας Énas επιτιθέμενος epitithémenos μπορεί mporeí να na δημιουργήσει dēmiourgḗsei έναν énan ψεύτικο pseútiko ιστότοπο istótopo και kai να na συλλάβει syllábei τη διεύθυνση dieúthynsē email email ενός enós χρήστη. chrḗstē. Όταν Ótan ο o επιτιθέμενος epitithémenos ξεκινά xekiná την tēn πιστοποίηση pistopoíēsē σε se έναν énan νόμιμο nómimo κυβερνητικό kybernētikó ιστότοπο istótopo χρησιμοποιώντας chrēsimopoiṓntas το to email email του tou θύματος, thýmatos, η ē πύλη pýlē εμφανίζει emphanízei έναν énan 4ψήφιο 4psḗphio κωδικό kōdikó PIN. PIN. Ο O επιτιθέμενος epitithémenos αναμεταδίδει anametadídei αυτόν autón τον ton κωδικό kōdikó PIN PIN στο sto θύμα thýma μέσω mésō του tou ψεύτικου pseútikou ιστότοπου, istótopou, και kai όταν ótan το to θύμα thýma τον ton εισάγει eiságei στην stēn εφαρμογή epharmogḗ myGovID myGovID του, tou, παραχωρεί parachōreí άθελά áthelá του tou στον ston επιτιθέμενο epitithémeno πλήρη plḗrē πρόσβαση prósbasē σε se νόμιμους nómimous κυβερνητικούς kybernētikoús λογαριασμούς. logariasmoús. Ένα Éna κρίσιμο krísimo σφάλμα sphálma σχεδιασμού schediasmoú είναι eínai ότι óti η ē εφαρμογή epharmogḗ myGovID myGovID **δεν **den παρέχει paréchei καμ kam ένδειξη éndeixē για gia το to ποιος poios οργανισμός organismós ζητά zētá πιστοποίηση** pistopoíēsē** [2]. [2]. Οι Oi ερευνητές ereunētés ανέφεραν anépheran αυτό autó το to κενό kenó ασφαλείας asphaleías στην stēn Australian Australian Signals Signals Directorate Directorate (ASD) (ASD) στις stis 19 19 Αυγούστου Augoústou 2024 2024 [3]. [3]. Σύμφωνα Sýmphōna με me τις tis βέλτιστες béltistes πρακτικές praktikés του tou κλάδου, kládou, πρότειναν próteinan μια mia περίοδο período υπεύθυνης ypeúthynēs αποκάλυψης apokálypsēs 90 90 ημερών ēmerṓn για gia να na επιτρέψουν epitrépsoun στην stēn κυβέρνηση kybérnēsē χρόνο chróno να na αναπτύξει anaptýxei και kai να na εφαρμόσει epharmósei μια mia διόρθωση diórthōsē πριν prin από apó τη δημόσια dēmósia αποκάλυψη apokálypsē [1]. [1].
The claim references a real security vulnerability identified in myGovID.
 ### ### Αντίδραση Antídrasē της tēs Κυβέρνησης: Kybérnēsēs: Άρνηση Árnēsē Διόρθωσης Diórthōsēs
In August 2024, security researchers Ben Frengley (University of Melbourne) and Vanessa Teague (CEO of Thinking Cybersecurity, ANU adjunct professor) discovered a critical vulnerability in myGovID's authentication system [1].
 Στις Stis 18 18 Σεπτεμβρίου Septembríou 2024, 2024, η ē Australian Australian Taxation Taxation Office Office (ATO) (ATO) συναντήθηκε synantḗthēke με me τους tous ερευνητές ereunētés και kai δήλωσε dḗlōse ρητά rētá ότι óti **«δεν **«den προτίθεται protíthetai να na αλλάξει alláxei το to πρωτόκολλο»** prōtókollo»** [3]. [3]. Αυτό Autó σημαίνει sēmaínei ότι óti η ē κυβέρνηση kybérnēsē αρνήθηκε arnḗthēke να na θεραπεύσει therapeúsei το to κενό kenó ασφαλείας. asphaleías. Επιπλέον, Epipléon, η ē ATO ATO χαρακτήρισε charaktḗrise το to κενό kenó ασφαλείας asphaleías ως ōs «περισσότερο «perissótero θέμα théma δημόσιας dēmósias ευαισθητοποίησης» euaisthētopoíēsēs» παρά pará ως ōs τεχνικό technikó σφάλμα sphálma που pou απαιτεί apaiteí αλλαγές allagés πρωτοκόλλου prōtokóllou [3]. [3]. Η Ē ATO ATO εξέδωσε exédōse επίσης epísēs δηλώσεις dēlṓseis ισχυριζόμενη ischyrizómenē ότι óti το to myGovID myGovID ήταν ḗtan «πιο «pio ασφαλές asphalés από apó οποιοδήποτε opoiodḗpote διαπιστευτήριο», diapisteutḗrio», απορρίπτοντας aporríptontas τις tis ανησυχίες anēsychíes των tōn ερευνητών ereunētṓn [4]. [4]. Αφού Aphoú η ē κυβέρνηση kybérnēsē αρνήθηκε arnḗthēke να na διορθώσει diorthṓsei το to κενό kenó ασφαλείας, asphaleías, οι oi ερευνητές ereunētés έγιναν éginan δημόσια dēmósia γνωστοί gnōstoí στις stis 21 21 Σεπτεμβρίου Septembríou 2024 2024 - - δημοσιεύοντας dēmosieúontas τα ta ευρήματά eurḗmatá τους tous παρά pará την tēn πρότασή prótasḗ τους tous για gia περίοδο período υπεύθυνης ypeúthynēs αποκάλυψης apokálypsēs [2]. [2]. Οι Oi ερευνητές ereunētés ασφαλείας asphaleías προειδοποίησαν proeidopoíēsan ρητά rētá το to κοινό koinó να na μην mēn χρησιμοποιεί chrēsimopoieí το to myGovID myGovID μέχρι méchri να na διορθωθεί diorthōtheí το to σφάλμα sphálma σύνδεσης sýndesēs [1]. [1].
The vulnerability is a **code replay attack** that exploits a fundamental design flaw.
 ### ### Τεκμηριωμένα Tekmēriōména Στοιχεία Stoicheía από apó τον ton Ombudsman Ombudsman
An attacker can set up a fake website and capture a user's email address.
 Τον Ton Αύγουστο Aúgousto του tou 2024, 2024, ο o Australian Australian Ombudsman Ombudsman δημοσίευσε dēmosíeuse την tēn έκθεση ékthesē «Keeping «Keeping myGov myGov Secure», Secure», η ē οποία opoía εντόπισε entópise πολλαπλές pollaplés ελλείψεις elleípseis ασφαλείας asphaleías στα sta συστήματα systḗmata myGov/myGovID, myGov/myGovID, συμπεριλαμβανομένων symperilambanoménōn ασυνεπών asynepṓn προτύπων protýpōn απόδειξης apódeixēs ταυτότητας, tautótētas, περιορισμένων periorisménōn ελέγχων elénchōn ασφαλείας asphaleías για gia μη εξουσιοδοτημένη exousiodotēménē σύνδεση sýndesē λογαριασμών, logariasmṓn, και kai περιπτώσεων periptṓseōn απατεώνων apateṓnōn που pou ανακατεύθυναν anakateúthynan πληρωμές plērōmés συντάξεων syntáxeōn και kai υπέβαλλαν ypéballan ψευδείς pseudeís αιτήσεις aitḗseis επιδομάτων epidomátōn [5]. [5]. Η Ē Services Services Australia Australia συμφώνησε symphṓnēse με me αυτές autés τις tis συστάσεις systáseis στα sta τέλη télē Ιουλίου Ioulíou 2024 2024 αλλά allá ανέβαλε anébale την tēn εφαρμογή epharmogḗ για gia τις tis αρχές archés του tou 2025, 2025, υποδεικνύοντας ypodeiknýontas ότι óti δεν den ελήφθη elḗphthē άμεση ámesē δράση drásē για gia επείγοντα epeígonta ζητήματα zētḗmata ασφαλείας asphaleías [5]. [5].
When the attacker initiates authentication at a legitimate government portal using the victim's email, the portal displays a 4-digit PIN.

Ελλιπές Πλαίσιο

### ### 1. 1. Το To «Ειδικά «Eidiká Κατασκευασμένο» Kataskeuasméno» Πρωτόκολλο Prōtókollo Πιστοποίησης Pistopoíēsēs είναι eínai Ακριβές Akribés
### 1. The "Bespoke" Authentication Protocol is Accurate
 Ο O ισχυρισμός ischyrismós χαρακτηρίζει charaktērízei με me ακρίβεια akríbeia το to πρωτόκολλο prōtókollo πιστοποίησης pistopoíēsēs του tou myGovID myGovID ως ōs μη πρότυπο. prótypo. Το To myGovID myGovID χρησιμοποιεί chrēsimopoieí το to **Trusted **Trusted Digital Digital Identity Identity Framework Framework (TDIF)**, (TDIF)**, το to οποίο opoío είναι eínai ένα éna ιδιόκτητο, idióktēto, ειδικά eidiká κατασκευασμένο kataskeuasméno σύστημα sýstēma συγκεκριμένο synkekriméno για gia την tēn Αυστραλία Australía - - όχι óchi το to OpenID OpenID Connect, Connect, το to OAuth OAuth 2.0, 2.0, ή άλλα álla διεθνώς diethnṓs αναγνωρισμένα anagnōrisména πρότυπα prótypa [6]. [6]. Οι Oi ερευνητές ereunētés ασφαλείας asphaleías έχουν échoun συστήσει systḗsei το to πλαίσιο plaísio TDIF TDIF να na καταργηθεί katargētheí και kai να na αντικατασταθεί antikatastatheí με me πρότυπα prótypa πρωτόκολλα prōtókolla όπως ópōs το to OpenID OpenID Connect Connect [2]. [2].
The claim accurately characterizes myGovID's authentication protocol as non-standard. myGovID uses the **Trusted Digital Identity Framework (TDIF)**, which is a proprietary, bespoke system specific to Australia - not OpenID Connect, OAuth 2.0, or other internationally recognized standards [6].
 ### ### 2. 2. Σχεδιασμός Schediasmós Πρωτοκόλλου Prōtokóllou vs vs Θέματα Thémata Υλοποίησης Ylopoíēsēs
Security researchers have recommended that the TDIF framework be deprecated and replaced with standard protocols like OpenID Connect [2].
 Ενώ Enṓ το to κενό kenó ασφαλείας asphaleías υπάρχει, ypárchei, υπάρχει ypárchei μια mia τεχνική technikḗ διάκριση diákrisē που pou αξίζει axízei να na σημειωθεί: sēmeiōtheí: το to θεμελιώδες themeliṓdes σφάλμα sphálma φαίνεται phaínetai να na προέρχεται proérchetai από apó το to σχεδιασμό schediasmó του tou πρωτοκόλλου prōtokóllou έλλειψη élleipsē περιεχομένου periechoménou σχετικά schetiká με me το to ποιος poios ζητά zētá πιστοποίηση pistopoíēsē στην stēn εφαρμογή epharmogḗ myGovID), myGovID), όχι óchi απαραίτητα aparaítēta από apó σφάλματα sphálmata υλοποίησης. ylopoíēsēs. Ωστόσο, Ōstóso, αυτή autḗ η ē διάκριση diákrisē δεν den μειώνει meiṓnei την tēn εγκυρότητα enkyrótēta του tou ισχυρισμού ischyrismoú - - ένας énas ελαττωματικός elattōmatikós σχεδιασμός schediasmós πρωτοκόλλου prōtokóllou είναι eínai ακόμα akóma ένα éna σφάλμα sphálma που pou απαιτεί apaiteí διόρθωση. diórthōsē.
### 2. Protocol Design vs. Implementation Issues
 ### ### 3. 3. Χρονοδιάγραμμα Chronodiágramma και kai Πλαίσιο Plaísio
While the vulnerability exists, there is a technical distinction worth noting: the fundamental flaw appears to stem from the protocol's design (the lack of context about who is requesting authentication in the myGovID app), not necessarily implementation errors.
 Η Ē ανακάλυψη anakálypsē του tou κενού kenoú ασφαλείας asphaleías συνέβη synébē αργά argá στη stē θητεία thēteía της tēs κυβέρνησης kybérnēsēs Coalition. Coalition. Η Ē Coalition Coalition απομακρύνθηκε apomakrýnthēke από apó την tēn εξουσία exousía τον ton Μάιο Máio του tou 2022. 2022. Το To κενό kenó ασφαλείας asphaleías ανακαλύφθηκε anakalýphthēke τον ton Αύγουστο Aúgousto του tou 2024 2024 από apó την tēn κυβέρνηση kybérnēsē Albanese Albanese Labor. Labor. Αυτό Autó σημαίνει: sēmaínei: - - Η Ē κυβέρνηση kybérnēsē Coalition Coalition (2013-2022) (2013-2022) δεν den θα tha είχε eíche λάβει lábei την tēn απόφαση apóphasē Σεπτεμβρίου Septembríou 2024 2024 να na αρνηθεί arnētheí την tēn αποκατάσταση apokatástasē - - Η Ē τρέχουσα tréchousa (Labor) (Labor) κυβέρνηση kybérnēsē κληρονόμησε klēronómēse το to myGovID myGovID και kai πήρε pḗre την tēn απόφαση apóphasē να na μην mēn αλλάξει alláxei το to πρωτόκολλο prōtókollo [3] [3] Ωστόσο, Ōstóso, ο o ισχυρισμός ischyrismós μπορεί mporeí να na αναφέρεται anaphéretai στην stēn αρχική archikḗ απόφαση apóphasē της tēs κυβέρνησης kybérnēsēs Coalition Coalition να na αναπτύξει anaptýxei και kai να na εφαρμόσει epharmósei το to myGovID myGovID χρησιμοποιώντας chrēsimopoiṓntas ένα éna ειδικά eidiká κατασκευασμένο, kataskeuasméno, μη πρότυπο prótypo πρωτόκολλο prōtókollo αντί antí για gia καθιερωμένα kathierōména πρότυπα prótypa του tou κλάδου kládou - - μια mia απόφαση apóphasē που pou θα tha είχε eíche ληφθεί lēphtheí κατά katá τη διάρκεια diárkeia της tēs θητείας thēteías της tēs Coalition Coalition (2013-2022). (2013-2022).
However, this distinction does not diminish the validity of the claim - a flawed protocol design is still a flaw that requires fixing.

Αξιολόγηση Αξιοπιστίας Πηγής

### ### Πρωτογενής Prōtogenḗs Πηγή: Pēgḗ: Thinking Thinking Cybersecurity Cybersecurity
### Original Source: Thinking Cybersecurity
 Η Ē πρωτογενής prōtogenḗs πηγή pēgḗ που pou παρέχεται paréchetai (Thinking (Thinking Cybersecurity) Cybersecurity) είναι eínai ένας énas οργανισμός organismós που pou διευθύνεται dieuthýnetai από apó τη Vanessa Vanessa Teague, Teague, μία mía από apó τις tis ερευνήτριες ereunḗtries που pou ανακάλυψαν anakálypsan το to κενό kenó ασφαλείας. asphaleías. Αυτό Autó δημιουργεί dēmiourgeí μια mia άμεση ámesē πηγή pēgḗ για gia το to ίδιο ídio το to κενό kenó ασφαλείας. asphaleías. Η Ē Vanessa Vanessa Teague Teague είναι: eínai: - - Επίκουρη Epíkourē καθηγήτρια kathēgḗtria του tou ANU ANU και kai ερευνήτρια ereunḗtria ασφαλείας asphaleías - - Μια Mia αξιόπιστη axiópistē ακαδημαϊκή akadēmaïkḗ φωνή phōnḗ στην stēn κυβερνοασφάλεια kybernoaspháleia - - Έχει Échei δημοσιεύσει dēmosieúsei εργασία ergasía με me κριτές krités σε se θέματα thémata εκλογικής eklogikḗs ασφάλειας aspháleias και kai ψηφιακών psēphiakṓn συστημάτων systēmátōn [7] [7] Ωστόσο, Ōstóso, ως ōs μία mía από apó τις tis ερευνήτριες ereunḗtries που pou αναφέρουν anaphéroun το to δικό dikó τους tous εύρημα, eúrēma, υπάρχει ypárchei εγγενής engenḗs μεροληψία merolēpsía υπέρ ypér της tēs υπογράμμισης ypográmmisēs της tēs σοβαρότητας sobarótētas του tou κενού kenoú ασφαλείας. asphaleías.
The original source provided (Thinking Cybersecurity) is an organization led by Vanessa Teague, one of the researchers who discovered the vulnerability.
 ### ### Πρωτογενείς Prōtogeneís Πηγές Pēgés για gia αυτό autó το to Θέμα Théma
This creates a direct source on the vulnerability itself.
 Οι Oi πιο pio αξιόπιστες axiópistes πηγές pēgés είναι: eínai: - - **Τεχνολογικά **Technologiká ειδησεογραφικά eidēseographiká μέσα** mésa** (iTnews, (iTnews, InnovationAus): InnovationAus): Κυρίαρχος Kyríarchos Αυστραλιανός Australianós τεχνολογικός technologikós Τύπος Týpos που pou καλύπτει kalýptei την tēn ανακάλυψη anakálypsē του tou κενού kenoú ασφαλείας asphaleías και kai την tēn κυβερνητική kybernētikḗ αντίδραση antídrasē [1][3] [1][3] - - **Κυβερνητικές **Kybernētikés πηγές** pēgés** (έκθεση (ékthesē Ombudsman, Ombudsman, δηλώσεις dēlṓseis ATO): ATO): Επίσημη Epísēmē τεκμηρίωση tekmēríōsē ανησυχιών anēsychiṓn ασφαλείας asphaleías και kai κυβερνητικών kybernētikṓn θέσεων théseōn [4][5] [4][5] - - **Έρευνα **Éreuna ασφαλείας** asphaleías** (Thinking (Thinking Cybersecurity, Cybersecurity, τεχνική technikḗ τεκμηρίωση tekmēríōsē ερευνητών): ereunētṓn): Ακαδημαϊκή Akadēmaïkḗ και kai επαγγελματική epangelmatikḗ ανάλυση análysē ασφαλείας asphaleías [2] [2] Ο O ισχυρισμός ischyrismós υποστηρίζεται ypostērízetai καλά kalá από apó τον ton κυρίαρχο kyríarcho τεχνολογικό technologikó Τύπο Týpo και kai κυβερνητικές kybernētikés εκθέσεις, ekthéseis, όχι óchi κυρίως kyríōs από apó μια mia μεμονωμένη memonōménē κομματική kommatikḗ πηγή. pēgḗ.
Vanessa Teague is: - An ANU adjunct professor and security researcher - A credible academic voice in cybersecurity - Has published peer-reviewed work on electoral security and digital systems [7] However, as one of the researchers reporting on their own finding, there is inherent bias in favor of emphasizing the vulnerability's severity.
⚖️

Σύγκριση Labor

### ### Υιοθέτησε Yiothétēse η ē Labor Labor Παρόμοιες Parómoies Προσεγγίσεις Prosengíseis Ειδικής Eidikḗs Πιστοποίησης; Pistopoíēsēs?
### Did Labor Adopt Similar Bespoke Authentication Approaches?
 Η Ē Labor Labor δεν den ήταν ḗtan στην stēn κυβέρνηση kybérnēsē όταν ótan αναπτύχθηκε anaptýchthēke το to myGovID myGovID κυβέρνησε kybérnēse Coalition Coalition κυβέρνησε kybérnēse το to 2013-2022). 2013-2022). Η Ē κυβέρνηση kybérnēsē Labor Labor κληρονόμησε klēronómēse το to σύστημα sýstēma myGovID myGovID όταν ótan ανέλαβε anélabe καθήκοντα kathḗkonta τον ton Μάιο Máio του tou 2022. 2022. **Ωστόσο**, **Ōstóso**, η ē πιο pio σχετική schetikḗ σύγκριση sýnkrisē είναι: eínai: **Πώς **Pṓs αντέδρασε antédrase η ē Labor Labor στο sto ανακαλυφθέν anakalyphthén κενό kenó ασφαλείας;** asphaleías?** Όπως Ópōs σημειώθηκε sēmeiṓthēke παραπάνω, parapánō, η ē απόφαση apóphasē να na «μην «mēn προτίθεται protíthetai να na αλλάξει alláxei το to πρωτόκολλο» prōtókollo» τον ton Σεπτέμβριο Septémbrio του tou 2024 2024 ελήφθη elḗphthē από apó την tēn **ATO **ATO της tēs κυβέρνησης kybérnēsēs Labor**, Labor**, όχι óchi την tēn Coalition. Coalition. Αυτό Autó υποδεικνύει ypodeiknýei ότι óti και kai οι oi δύο dýo κυβερνήσεις kybernḗseis (Coalition (Coalition για gia την tēn αρχική archikḗ ανάπτυξη, anáptyxē, Labor Labor για gia την tēn αντίδραση antídrasē στο sto ανακαλυφθέν anakalyphthén κενό kenó ασφαλείας) asphaleías) έκαναν ékanan αμφισβητούμενες amphisbētoúmenes αποφάσεις apopháseis κυβερνοασφάλειας kybernoaspháleias σχετικά schetiká με me το to myGovID. myGovID.
Labor was not in government when myGovID was developed (Coalition governed 2013-2022).
 ### ### Προσέγγιση Proséngisē της tēs Labor Labor στην stēn Ψηφιακή Psēphiakḗ Ταυτότητα Tautótēta
The Labor government inherited the myGovID system when they took office in May 2022. **However**, the more relevant comparison is: **How did Labor respond to the discovered vulnerability?** As noted above, the decision to "not intend to change the protocol" in September 2024 was made by the **Labor government's ATO**, not the Coalition.
 Η Ē Labor Labor έχει échei επιδιώξει epidiṓxei τη συνεχιζόμενη synechizómenē ανάπτυξη anáptyxē του tou myGovID myGovID (μετονομάστηκε (metonomástēke σε se «myID» «myID» τον ton Νοέμβριο Noémbrio του tou 2024) 2024) υπό ypó ένα éna σχήμα schḗma ψηφιακής psēphiakḗs ταυτότητας. tautótētas. Η Ē Labor Labor δεν den εγκατέλειψε enkatéleipse το to πλαίσιο plaísio TDIF TDIF αλλά allá αντίθετα antítheta συνέχισε synéchise να na λειτουργεί leitourgeí εντός entós αυτού autoú [8]. [8]. Αυτό Autó υποδεικνύει ypodeiknýei ότι óti η ē Labor Labor μπορεί mporeí να na φέρει phérei κάποια kápoia ευθύνη euthýnē για gia το to ότι óti δεν den αντιμετώπισε antimetṓpise την tēn αρχιτεκτονική architektonikḗ ευπάθεια eupátheia όταν ótan ανακαλύφθηκε anakalýphthēke υπό ypó την tēn εποπτεία epopteía της. tēs.
This indicates both governments (Coalition for original development, Labor for response to the discovered vulnerability) made questionable cybersecurity decisions regarding myGovID.
🌐

Ισορροπημένη Προοπτική

### ### Η Ē Απόφαση Apóphasē Σχεδιασμού Schediasmoú της tēs Coalition Coalition (2013-2022) (2013-2022)
### The Coalition's Design Decision (2013-2022)
 Όταν Ótan η ē κυβέρνηση kybérnēsē Coalition Coalition αποφάσισε apophásise να na αναπτύξει anaptýxei το to myGovID myGovID χρησιμοποιώντας chrēsimopoiṓntas ένα éna ιδιόκτητο, idióktēto, ειδικά eidiká κατασκευασμένο kataskeuasméno πρωτόκολλο prōtókollo πιστοποίησης pistopoíēsēs (TDIF) (TDIF) αντί antí να na υιοθετήσει yiothetḗsei διεθνώς diethnṓs πρότυπα prótypa πρωτόκολλα prōtókolla όπως ópōs το to OpenID OpenID Connect, Connect, αυτό autó αντιπροσώπευε antiprosṓpeue μια mia αμφισβητούμενη amphisbētoúmenē αρχιτεκτονική architektonikḗ απόφαση. apóphasē. Οι Oi λόγοι lógoi για gia αυτή autḗ την tēn επιλογή epilogḗ ήταν ḗtan πιθανώς: pithanṓs: - - Επιθυμία Epithymía για gia μια mia μοναδικά monadiká Αυστραλιανή Australianḗ λύση lýsē προσαρμοσμένη prosarmosménē σε se συγκεκριμένες synkekriménes κυβερνητικές kybernētikés ανάγκες anánkes - - Πιθανές Pithanés ανησυχίες anēsychíes εθνικής ethnikḗs κυριαρχίας kyriarchías (όχι (óchi εξάρτηση exártēsē από apó διεθνή diethnḗ πρότυπα) prótypa) - - Αντιληπτός Antilēptós έλεγχος élenchos της tēs ασφάλειας aspháleias και kai των tōn λειτουργιών leitourgiṓn του tou συστήματος systḗmatos Ωστόσο, Ōstóso, οι oi ειδικοί eidikoí ασφαλείας asphaleías υποστηρίζουν ypostērízoun ότι óti τα ta ειδικά eidiká κατασκευασμένα kataskeuasména συστήματα systḗmata πιστοποίησης pistopoíēsēs είναι eínai εγγενώς engenṓs πιο pio επικίνδυνα epikíndyna επειδή: epeidḗ: - - Έχουν Échoun περιορισμένη periorisménē εξωτερική exōterikḗ ανασκόπηση anaskópēsē ασφαλείας asphaleías σε se σύγκριση sýnkrisē με me τα ta ευρέως euréōs χρησιμοποιούμενα chrēsimopoioúmena πρότυπα prótypa - - Δεν Den επωφελούνται epōpheloúntai από apó χρόνια chrónia κοινοτικής koinotikḗs ανακάλυψης anakálypsēs ευπαθειών eupatheiṓn και kai διόρθωσης diórthōsēs - - Αυξάνουν Auxánoun την tēn πιθανότητα pithanótēta σφαλμάτων sphalmátōn σχεδιασμού schediasmoú όπως ópōs αυτό autó που pou ανακαλύφθηκε anakalýphthēke το to 2024 2024 [2] [2] **Το **To πρότυπο prótypo πρακτικό praktikó ασφαλείας asphaleías είναι eínai να na χρησιμοποιούνται chrēsimopoioúntai αποδεδειγμένα, apodedeigména, ευρέως euréōs ελεγμένα elegména πρωτόκολλα prōtókolla εκτός ektós αν an υπάρχει ypárchei πειστικός peistikós λόγος lógos να na μην mēn γίνει.** gínei.**
When the Coalition government decided to develop myGovID using a proprietary, bespoke authentication protocol (TDIF) rather than adopting internationally standard protocols like OpenID Connect, this represented a questionable architectural decision.
 ### ### Η Ē Αντίδραση Antídrasē της tēs Κυβέρνησης Kybérnēsēs στο sto Ανακαλυφθέν Anakalyphthén Κενό Kenó Ασφαλείας Asphaleías
The reasons for this choice were likely: - Desire for a uniquely Australian solution tailored to specific government needs - Potential national sovereignty concerns (not relying on international standards) - Perceived control over the system's security and operations However, security experts argue that bespoke authentication systems are inherently riskier because they: - Have limited external security review compared to widely-used standards - Don't benefit from years of community vulnerability discovery and patching - Increase the chance of design flaws like the one discovered in 2024 [2] **Standard security practice is to use proven, widely-audited protocols unless there is a compelling reason not to.**
 Πιο Pio προβληματική problēmatikḗ από apó την tēn αρχική archikḗ επιλογή epilogḗ σχεδιασμού schediasmoú ήταν ḗtan η ē αντίδραση antídrasē όταν ótan ανακαλύφθηκε anakalýphthēke το to κενό kenó ασφαλείας: asphaleías: **Κατά **Katá τη διάρκεια diárkeia της tēs κυβέρνησης kybérnēsēs Coalition Coalition (2013-2022):** (2013-2022):** - - Η Ē Coalition Coalition θα tha είχε eíche αναπτύξει anaptýxei και kai λειτουργήσει leitourgḗsei το to myGovID myGovID αλλά allá το to κενό kenó ασφαλείας asphaleías δεν den ανακαλύφθηκε anakalýphthēke μέχρι méchri το to 2024 2024 (μετά (metá την tēn απώλεια apṓleia της tēs εξουσίας exousías τους) tous) **Κατά **Katá τη διάρκεια diárkeia της tēs κυβέρνησης kybérnēsēs Labor Labor (από (apó τον ton Σεπτέμβριο Septémbrio 2024 2024 και kai μετά):** metá):** - - Η Ē ATO ATO αρνήθηκε arnḗthēke ρητά rētá να na διορθώσει diorthṓsei το to γνωστό gnōstó κενό kenó ασφαλείας, asphaleías, δηλώνοντας dēlṓnontas ότι óti «δεν «den προτίθεται protíthetai να na αλλάξει alláxei το to πρωτόκολλο» prōtókollo» - - Η Ē κυβέρνηση kybérnēsē το to απέρριψε apérripse ως ōs «θέμα «théma δημόσιας dēmósias ευαισθητοποίησης» euaisthētopoíēsēs» παρά pará ως ōs τεχνικό technikó σφάλμα sphálma σχεδιασμού schediasmoú - - Δεν Den ανακοινώθηκε anakoinṓthēke χρονοδιάγραμμα chronodiágramma ή σχέδιο schédio αποκατάστασης apokatástasēs - - Το To σύστημα sýstēma συνέχισε synéchise να na λειτουργεί leitourgeí με me το to γνωστό gnōstó κενό kenó ασφαλείας asphaleías
### The Government's Response to the Discovered Vulnerability
 ### ### Ειδικές Eidikés και kai Θεσμικές Thesmikés Προοπτικές Prooptikés
More problematic than the original design choice was the response when the vulnerability was discovered: **During Coalition government (2013-2022):** - The Coalition would have deployed and operated myGovID but the vulnerability wasn't discovered until 2024 (after their loss of office) **During Labor government (September 2024 onward):** - The ATO explicitly refused to fix the known vulnerability, stating they "did not intend to change the protocol" - The government dismissed it as a "public awareness issue" rather than a technical design flaw - No remediation timeline or plan was announced - The system continued to operate with the known vulnerability
 Η Ē έκθεση ékthesē του tou Ombudsman Ombudsman ενισχύει enischýei ότι óti η ē ασφάλεια aspháleia myGov/myGovID myGov/myGovID είναι eínai ανεπαρκής, aneparkḗs, με me την tēn κυβέρνηση kybérnēsē να na συμφωνεί symphōneí να na αντιμετωπίσει antimetōpísei τις tis ελλείψεις elleípseis μόνο móno το to 2025 2025 [5]. [5]. Το To χρονοδιάγραμμα chronodiágramma υποδεικνύει ypodeiknýei ότι óti αυτό autó ήταν ḗtan αντιδραστικό antidrastikó παρά pará προληπτικό prolēptikó governance governance ασφαλείας. asphaleías.
### Expert and Institutional Perspectives
 ### ### Συγκριτική Synkritikḗ Κυβερνητική Kybernētikḗ Πρακτική Praktikḗ
The Ombudsman's report reinforces that myGov/myGovID security is inadequate, with the government only agreeing to address deficiencies in 2025 [5].
 Η Ē αγνόηση agnóēsē γνωστών gnōstṓn κενών kenṓn ασφαλείας asphaleías σε se συστήματα systḗmata πιστοποίησης pistopoíēsēs δεν den είναι eínai πρότυπη prótypē πρακτική praktikḗ σε se υπεύθυνες ypeúthynes κυβερνήσεις. kybernḗseis. Η Ē πρότυπη prótypē προσέγγιση proséngisē του tou κλάδου kládou είναι: eínai: 1. 1. Αναγνώριση Anagnṓrisē του tou κενού kenoú ασφαλείας asphaleías 2. 2. Ανάπτυξη Anáptyxē σχεδίου schedíou αποκατάστασης apokatástasēs 3. 3. Εφαρμογή Epharmogḗ της tēs διόρθωσης diórthōsēs εντός entós εύλογου eúlogou χρονοδιαγράματος chronodiagrámatos 4. 4. Δημόσια Dēmósia επικοινωνία epikoinōnía της tēs επίλυσης epílysēs Η Ē αντίδραση antídrasē της tēs Αυστραλιανής Australianḗs κυβέρνησης kybérnēsēs (άρνηση (árnēsē να na διορθώσει diorthṓsei το to σφάλμα sphálma σχεδιασμού schediasmoú πρωτοκόλλου) prōtokóllou) δεν den πληροί plēroí αυτά autá τα ta πρότυπα. prótypa. **Βασικό **Basikó πλαίσιο:** plaísio:** Ούτε Oúte η ē Coalition Coalition ούτε oúte η ē Labor Labor έχουν échoun επιδείξει epideíxei ισχυρή ischyrḗ governance governance κυβερνοασφάλειας kybernoaspháleias σχετικά schetiká με me το to myGovID. myGovID. Η Ē Coalition Coalition δημιούργησε dēmioúrgēse ένα éna σύστημα sýstēma χρησιμοποιώντας chrēsimopoiṓntas μη πρότυπα prótypa πρωτόκολλα, prōtókolla, και kai η ē Labor Labor (που (pou το to κληρονόμησε) klēronómēse) αρνήθηκε arnḗthēke να na το to διορθώσει diorthṓsei όταν ótan ανακαλύφθηκαν anakalýphthēkan οι oi ευπάθειες. eupátheies. Και Kai οι oi δύο dýo αποφάσεις apopháseis φαίνεται phaínetai να na καθοδηγούνται kathodēgoúntai από apó γραφειοκρατική grapheiokratikḗ αδράνεια adráneia και kai απροθυμία aprothymía να na αναγνωρίσουν anagnōrísoun συστημικά systēmiká αρχιτεκτονικά architektoniká σφάλματα. sphálmata.
The timing suggests this was reactive rather than proactive security governance.

ΑΛΗΘΈΣ

7.0

/ 10

Ο O ισχυρισμός ischyrismós είναι eínai πραγματολογικά pragmatologiká ακριβής akribḗs όσον óson αφορά aphorá το to κενό kenó ασφαλείας asphaleías myGovID myGovID και kai την tēn άρνηση árnēsē της tēs κυβέρνησης kybérnēsēs να na το to διορθώσει. diorthṓsei. Ωστόσο, Ōstóso, υπάρχει ypárchei μια mia σημαντική sēmantikḗ **χρονική **chronikḗ διευκρίνιση**: dieukrínisē**: Η Ē απόφαση apóphasē να na αρνηθεί arnētheí η ē αποκατάσταση apokatástasē ελήφθη elḗphthē από apó την tēn **κυβέρνηση **kybérnēsē Labor Labor τον ton Σεπτέμβριο Septémbrio του tou 2024**, 2024**, όχι óchi από apó την tēn κυβέρνηση kybérnēsē Coalition. Coalition. Η Ē Coalition Coalition (2013-2022) (2013-2022) πήρε pḗre την tēn αρχική archikḗ απόφαση apóphasē να na χρησιμοποιήσει chrēsimopoiḗsei ένα éna ειδικά eidiká κατασκευασμένο, kataskeuasméno, μη πρότυπο prótypo πρωτόκολλο, prōtókollo, η ē οποία opoía ήταν ḗtan η ē αρχιτεκτονική architektonikḗ επιλογή epilogḗ που pou επέτρεψε epétrepse αυτό autó το to κενό kenó ασφαλείας. asphaleías. Ο O ισχυρισμός ischyrismós θα tha μπορούσε mporoúse να na ερμηνευτεί ermēneuteí με me δύο dýo τρόπους: trópous: 1. 1. **Αν **An αναφέρεται anaphéretai στον ston αρχικό archikó σχεδιασμό schediasmó πρωτοκόλλου prōtokóllou (εποχή (epochḗ Coalition Coalition 2013-2022):** 2013-2022):** ΑΛΗΘΕΣ ALĒTHES - - Η Ē Coalition Coalition επέλεξε epélexe ένα éna ειδικά eidiká κατασκευασμένο kataskeuasméno πρωτόκολλο prōtókollo αντί antí για gia αποδεδειγμένα apodedeigména πρότυπα prótypa 2. 2. **Αν **An αναφέρεται anaphéretai στην stēn άρνηση árnēsē του tou 2024 2024 να na διορθωθεί diorthōtheí το to ανακαλυφθέν anakalyphthén κενό kenó ασφαλείας:** asphaleías:** ΑΛΗΘΕΣ ALĒTHES αλλά allá ελήφθη elḗphthē από apó την tēn κυβέρνηση kybérnēsē Labor, Labor, όχι óchi την tēn Coalition Coalition Η Ē δήλωση dḗlōsē «Επέλεξε «Epélexe να na αγνοήσει agnoḗsei και kai να na μην mēn διορθώσει» diorthṓsei» διαβάζεται diabázetai πιο pio φυσικά physiká ως ōs αναφορά anaphorá στην stēn άρνηση árnēsē αποκατάστασης apokatástasēs μετά metá την tēn ανακάλυψη anakálypsē (Σεπτέμβριος (Septémbrios 2024), 2024), η ē οποία opoía ήταν ḗtan απόφαση apóphasē της tēs κυβέρνησης kybérnēsēs Labor, Labor, αν an και kai η ē υποκείμενη ypokeímenē αρχιτεκτονική architektonikḗ επιλογή epilogḗ έγινε égine από apó την tēn Coalition. Coalition.
The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.

📚 ΠΗΓΈΣ & ΑΝΑΦΟΡΈΣ (8)

  1. 1
    itnews.com.au

    itnews.com.au

    ATO declines to change protocol.

    iTnews
  2. 2
    thinkingcybersecurity.com

    thinkingcybersecurity.com

    Thinkingcybersecurity

  3. 3
    innovationaus.com

    innovationaus.com

    Innovationaus

  4. 4
    accountantsdaily.com.au

    accountantsdaily.com.au

    From security concerns to clashes with workplace policies, the transition to myGovID has caused a few headaches within the profession, but the ATO believes worries are misplaced.

    Accountantsdaily Com
  5. 5
    PDF

    Keeping myGov Secure

    Ombudsman Gov • PDF Document
  6. 6
    architecture.digital.gov.au

    architecture.digital.gov.au

    Architecture Digital Gov

  7. 7
    cecs.anu.edu.au

    cecs.anu.edu.au

    Cecs Anu Edu

  8. 8
    ato.gov.au

    ato.gov.au

    Ato Gov

Μεθοδολογία Κλίμακας Αξιολόγησης

1-3: ΨΕΥΔΕΣ

Πραγματολογικά εσφαλμένο ή κακόβουλη κατασκευή.

4-6: ΜΕΡΙΚΩΣ

Κάποια αλήθεια αλλά λείπει ή παραποιείται το πλαίσιο.

7-9: ΚΑΤΑ ΚΥΡΙΟ ΛΟΓΟ ΑΛΗΘΕΣ

Μικρές τεχνικές λεπτομέρειες ή ζητήματα διατύπωσης.

10: ΑΚΡΙΒΕΣ

Τέλεια επαληθευμένο και πλαισιακά δίκαιο.

Μεθοδολογία: Οι αξιολογήσεις καθορίζονται μέσω διασταύρωσης επίσημων κυβερνητικών αρχείων, ανεξάρτητων οργανισμών ελέγχου γεγονότων και πρωτογενών πηγών.

Previous: C0160 Next: C0162