C0024
La Afirmación
“No siguieron las mejores prácticas de ciberseguridad para las vacunas digitales contra el COVID. No cuentan con una forma efectiva de reportar vulnerabilidades, y mucho menos tienen programas de recompensas por errores para desalentar la venta de vulnerabilidades a criminales. Cuando el gobierno finalmente se entera de vulnerabilidades en su aplicación, no responde ni las resuelve de manera oportuna.”
Fuente Original: Matthew Davis
Analizado: 29 Jan 2026
Fuentes Originales
✅ VERIFICACIÓN DE HECHOS
### Vulnerabilidad en el Sistema de Certificado Digital COVID
### Vulnerability in COVID Digital Certificate System
Los hechos centrales de la afirmación están sustancialmente verificados. The core facts of the claim are substantially verified.
Richard Nelson, un investigador de seguridad creíble, descubrió una vulnerabilidad significativa en el sistema de certificado digital COVID-19 de Express Plus Medicare de Australia en septiembre de 2021 [1]. Richard Nelson, a credible security researcher, discovered a significant vulnerability in Australia's Express Plus Medicare COVID-19 digital certificate system in September 2021 [1].
Nelson encontró que era trivial hacer que la aplicación Medicare mostrara un certificado de vacunación COVID-19 que parecía válido a través de lo que describe como una vulnerabilidad de "hombre en el medio" [2]. Nelson found it was trivial to make the Medicare app display a valid-looking COVID-19 vaccine certificate through what he describes as a "man-in-the-middle" vulnerability [2].
Este hallazgo fue ampliamente reportado por medios de comunicación convencionales, incluyendo la ABC [3]. This finding was widely reported by mainstream media, including the ABC [3].
### Falta de Programa de Divulgación de Vulnerabilidades ### Lack of Vulnerability Disclosure Program
La afirmación sobre la ausencia de un programa formal de divulgación de vulnerabilidades está confirmada por declaraciones gubernamentales. The claim about the absence of a formal vulnerability disclosure program is confirmed by government statements.
Durante las audiencias del Presupuesto a finales de 2021, cuando senadores del Labor lo interrogaron sobre las vulnerabilidades de seguridad, Services Australia declaró explícitamente: "Actualmente no hay programas de divulgación de vulnerabilidades en vigor ni planes futuros para implementar tal programa para los certificados de vacunación digitales" [4]. During Budget Estimates hearings in late 2021, when grilled by Labor senators about the security vulnerabilities, Services Australia explicitly stated: "There are currently no vulnerability disclosure programs in place nor any future plans to implement such a program for the digital vaccination certificates" [4].
Además, la Agencia de Transformación Digital (DTA) declaró que no tenía "planes para considerar el establecimiento de programas de recompensas" [5]. Additionally, the Digital Transformation Agency (DTA) stated it had "no plans to consider establishing bounty programs" [5].
### Dificultad para Reportar Vulnerabilidades ### Difficulty Reporting Vulnerabilities
La experiencia personal de Nelson corrobora la segunda parte de la afirmación. Nelson's personal experience corroborates the second part of the claim.
Cuando descubrió la vulnerabilidad, enfrentó desafíos significativos para reportarla a través de los canales apropiados [1]. When he discovered the vulnerability, he faced significant challenges in reporting it through proper channels [1].
Intentó múltiples vías de reporte: - Intentó llamar a Services Australia directamente pero se rindió después de quedar en espera [1] - Descubrió que el Departamento de Salud tenía una Política de Divulgación de Vulnerabilidades, pero Express Plus Medicare dependía de Services Australia, no de Salud [1] - Lo reportó a través de ReportCyber y el Directorio de Señales de Australia (ASD), pero no recibió respuesta hasta días después [1] - Solo después de tuitear públicamente sobre la vulnerabilidad y ser contactado por periodistas, Services Australia pareció tomar acción [1] He attempted multiple reporting pathways:
- Tried calling Services Australia directly but gave up after being placed on hold [1]
- Found the Department of Health had a Vulnerability Disclosure Policy, but Express Plus Medicare fell under Services Australia, not Health [1]
- Reported it via ReportCyber and the Australian Signals Directorate (ASD), but received no response until days later [1]
- Only after publicly tweeting about the vulnerability and being contacted by journalists did Services Australia appear to take action [1]
### Oportunidad en la Respuesta y Remediación ### Response and Remediation Timeliness
La evidencia apoya la crítica sobre la oportunidad de la respuesta. The evidence supports criticism of response timeliness.
Nelson notó que Services Australia no se comunicó con él después de que se hiciera público a través de Twitter y los medios, probablemente porque el tema se había vuelto sensible y la agencia quería evitar cobertura de prensa adicional [1]. Nelson noted that Services Australia did not reach out to him after he went public via Twitter and media, likely because the issue had become sensitive and the agency wanted to avoid additional press coverage [1].
Esto demuestra un enfoque reactivo en lugar de proactivo para el manejo de vulnerabilidades. This demonstrates a reactive rather than proactive approach to vulnerability handling.
Sin embargo, las fuentes no proporcionan evidencia explícita de plazos extendidos de remediación después del reporte inicial o la divulgación pública. However, the sources do not provide explicit evidence of extended remediation timelines after the initial reporting or public disclosure.
Contexto Faltante
La afirmación requiere contexto adicional significativo: **1.
The claim requires significant additional context:
**1.
Existía un Marco de Ciberseguridad Gubernamental:** Services Australia afirmó realizar "evaluaciones cibernéticas completas varias veces al año" y declaró que "trabaja[n] estrechamente con el Directorio de Señales de Australia y el Centro de Ciberseguridad de Australia sobre posibles vulnerabilidades en aplicaciones móviles" [4]. Government Cybersecurity Framework Existed:** Services Australia claimed to undertake "full cyber assessments several times a year" and stated it "work[s] closely with the Australian Signals Directorate and Australian Cyber Security Centre on potential vulnerabilities on mobile applications" [4].
Esto indica que el gobierno sí tenía procesos de ciberseguridad en vigor, aunque no eran suficientes para manejar reportes de investigadores. **2. This indicates the government did have cybersecurity processes in place, though they were not sufficient for handling researcher reports.
**2.
Algunas Agencias Tenían Programas de Divulgación de Vulnerabilidades:** Mientras Services Australia carecía de un PDV, otras agencias gubernamentales australianas los habían implementado. Some Agencies Had Vulnerability Disclosure Programs:** While Services Australia lacked a VDP, other Australian government agencies had implemented them.
El Departamento de Asuntos Internos tenía un Programa de Divulgación de Vulnerabilidades en vigor [6], y Service NSW operaba un programa de recompensas por errores a través de Bugcrowd [7]. The Department of Home Affairs had a Vulnerability Disclosure Program in place [6], and Service NSW operated a bug bounty program through Bugcrowd [7].
Esto sugiere una implementación inconsistente entre agencias en lugar de un fracaso de política a nivel de todo el gobierno. **3. This suggests inconsistent implementation across agencies rather than a government-wide policy failure.
**3.
Evaluación de Severidad:** Services Australia caracterizó el ataque requerido como algo que "requiere[n] conocimiento y experiencia significativos" [4], sugiriendo que veían el riesgo práctico como menor de lo que la vulnerabilidad teórica podría sugerir. Severity Assessment:** Services Australia characterized the required attack as something that "require[s] significant knowledge and expertise" [4], suggesting they viewed the practical risk as lower than the theoretical vulnerability might suggest.
Sin embargo, esta defensa es débil—las vulnerabilidades de seguridad deberían abordarse independientemente de la complejidad del ataque. **4. However, this defense is weak—security vulnerabilities should be addressed regardless of attack complexity.
**4.
Falsificación vs. Forgeability vs.
Alteración:** La vulnerabilidad involucraba hacer que la aplicación mostrara un certificado falso (vulnerabilidad del lado del cliente) en lugar de crear certificados falsificados que pasarían la validación del backend. Tampering:** The vulnerability involved making the app display a false certificate (client-side vulnerability) rather than creating counterfeit certificates that would pass backend validation.
El propio tuit de Nelson enfatizó la facilidad de la vulnerabilidad de visualización, pero hay evidencia limitada de que el registro subyacente pudiera ser suplantado [3]. **5. Nelson's own tweet emphasized the ease of the display vulnerability, but there's limited evidence the underlying registry could be spoofed [3].
**5.
Cronología del Despliegue:** El certificado digital COVID-19 se introdujo relativamente apresuradamente durante las condiciones de la pandemia (implementado a mediados de 2021) [8]. Timeline of Rollout:** The COVID-19 digital certificate was introduced relatively hastily during pandemic conditions (rolled out in mid-2021) [8].
Este contexto no excusa las deficiencias de seguridad, pero explica algo de la presión por desplegar rápidamente. This context doesn't excuse the security shortcomings, but explains some of the pressure to deploy quickly.
Evaluación de Credibilidad de Fuente
### Fuentes Originales
### Original Sources
**Richard Nelson (artículo de Medium):** - Investigador de seguridad creíble con experiencia demostrable; sus otros artículos de Medium muestran conocimiento técnico profundo de sistemas de seguridad gubernamentales (análisis de COVIDSafe, ingeniería inversa de licencias de conducir de Service NSW) [1] - Relato personal de intentar divulgación responsable; hace un esfuerzo genuino por seguir procedimientos apropiados antes de hacerse público [1] - Transparente sobre su frustración y estado emocional; reconoce la dificultad de su posición [1] - Parece motivado por la seguridad pública, no la política partidista; no hay evidencia de alineación política hacia el Labor [1] **ZDNet (artículo de Campbell Kwan):** - Medio de noticias tecnológicas convencional con estándares editoriales [9] - Reporta sobre las deliberaciones del Presupuesto, que son registros públicos documentados [4] - Cita con precisión las declaraciones del gobierno; las citas son verificables [4] - Campbell Kwan es un colaborador regular sobre temas de tecnología gubernamental [9] - Sin embargo, el artículo enfatiza las críticas de senadores del Labor en un contexto federal de Estimaciones del Presupuesto y no explora profundamente el razonamiento gubernamental o el contexto atenuante **Richard Nelson (Medium article):**
- Credible security researcher with demonstrable expertise; his other Medium articles show deep technical knowledge of government security systems (COVIDSafe analysis, Service NSW driver license reverse engineering) [1]
- Personal account of attempting responsible disclosure; makes genuine effort to follow proper procedures before going public [1]
- Transparent about his frustration and emotional state; acknowledges the difficulty of his position [1]
- Appears motivated by public security, not partisan politics; no evidence of political alignment toward Labor [1]
**ZDNet (Campbell Kwan article):**
- Mainstream technology news outlet with editorial standards [9]
- Reports on Budget Estimates proceedings, which are documented public records [4]
- Accurately cites the government's own statements; quotes are verifiable [4]
- Campbell Kwan is a regular contributor on government technology issues [9]
- However, the article emphasizes criticism from Labor senators and doesn't deeply explore government rationale or mitigating context
### Evaluación de Sesgo ### Bias Assessment
Ninguna fuente parece estar principalmente motivada por sesgo partidista, aunque el artículo de ZDNet da prominencia a las críticas de senadores del Labor en un contexto de Estimaciones del Presupuesto federales. Neither source appears primarily motivated by partisan bias, though the ZDNet article gives prominence to Labor senators' criticisms in a federal Budget Estimates context.
Las fuentes son factuales y verificables, aunque enfatizan los fracasos gubernamentales en lugar de proporcionar contexto equilibrado. The sources are factual and verifiable, though they emphasize government failures rather than providing balanced context.
Esto es apropiado para reportes de seguridad—la vulnerabilidad era real y la respuesta fue inadecuada—pero el enfoque es inherentemente crítico en lugar de neutral. This is appropriate for security reporting—the vulnerability was real and the response was inadequate—but the framing is inherently critical rather than neutral.
⚖️
Comparación con Labor
**¿Tuvo el Labor problemas significativos de ciberseguridad con sistemas de salud digitales?** Búsqueda realizada: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records" El manejo del Labor del sistema My Health Record muestra un precedente relevante.
**Did Labor have significant cybersecurity issues with digital health systems?**
Search conducted: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records"
Labor's handling of the My Health Record system shows relevant precedent.
El My Health Record fue introducido por el gobierno del Labor en 2012 y se volvió muy controvertido [10]. The My Health Record was introduced by the Labor government in 2012 and became highly controversial [10].
El sistema enfrentó preocupaciones significativas de privacidad, llevando al propio Labor a pedir la suspensión del despliegue cuando la Coalición lo expandió [11]. The system faced significant privacy concerns, leading Labor itself to call for a suspension of the rollout when the Coalition expanded it [11].
El Comisionado de Privacidad planteó preocupaciones, y hubo una reacción pública considerable [10]. The Privacy Commissioner raised concerns, and there was substantial public backlash [10].
Si bien esto representa un fracaso de política más amplio (diseño defectuoso desde el principio) en lugar de un problema específico de divulgación de vulnerabilidades de ciberseguridad, demuestra que los gobiernos del Labor también han luchado con la seguridad de los sistemas de salud digitales y la confianza pública en áreas similares. **Incidente de Ciberseguridad Comparable:** No hay evidencia de que los sistemas de salud digital del gobierno del Labor hayan enfrentado brechas similares de políticas de divulgación de vulnerabilidades durante su período en el gobierno (2007-2013). While this represents a broader policy failure (flawed design from the start) rather than a cybersecurity vulnerability disclosure issue specifically, it demonstrates that Labor governments have also struggled with digital health system security and public trust in similar areas.
**Comparable Cybersecurity Incident:** There is no evidence of Labor government digital health systems facing similar cybersecurity vulnerability disclosure policy gaps during their period in government (2007-2013).
Sin embargo, el tema más amplio de la gobernanza de seguridad digital inadecuada parece ser un problema sistémico del gobierno australiano a través de los partidos en lugar de único de la Coalición. However, the broader theme of inadequate digital security governance appears to be a systemic Australian government issue across parties rather than unique to the Coalition.
🌐
Perspectiva Equilibrada
**Posición del Gobierno:** Services Australia mantuvo que el sistema de certificado digital COVID-19 incluía múltiples capas de seguridad y que la vulnerabilidad descubierta requería "conocimiento y experiencia significativos" para explotar [4].
**Government's Position:**
Services Australia maintained that the COVID-19 digital certificate system included multiple security layers and that the vulnerability discovered required "significant knowledge and expertise" to exploit [4].
La agencia enfatizó que estaba cooperando con el Directorio de Señales de Australia y realizando evaluaciones cibernéticas regulares [4]. The agency emphasized it was cooperating with the Australian Signals Directorate and conducting regular cyber assessments [4].
La perspectiva del gobierno fue que, si bien la vulnerabilidad debería abordarse, no era un fallo crítico que requiriera una revisión inmediata de todo el sistema. **Perspectiva del Experto en Seguridad:** La posición de Richard Nelson está bien razonada desde el punto de vista de la gobernanza de seguridad: incluso si una vulnerabilidad requiere experiencia para explotar, deberían existir canales adecuados para la divulgación responsable. The government's perspective was that while the vulnerability should be addressed, it was not a critical failure requiring immediate overhaul of the entire system.
**Security Expert Perspective:**
Richard Nelson's position is well-reasoned from a security governance standpoint: even if a vulnerability requires expertise to exploit, proper channels for responsible disclosure should exist.
Argumenta que esta es una práctica estándar de la industria y que la ausencia de tales canales es lo que lo obligó a hacer público el asunto [1]. He argues this is standard industry practice and that the absence of such channels is what forced him to make the issue public [1].
Esta es una preocupación legítima sobre la madurez de seguridad institucional, no solo sobre la existencia de cualquier vulnerabilidad individual. **Problema Sistémico vs. This is a legitimate concern about institutional security maturity, not just about the existence of any single vulnerability.
**Systemic Issue vs.
Intención Maliciosa:** La evidencia sugiere que esto fue principalmente un fracaso de gobernanza sistémica (falta de procesos formales) en lugar de negligencia o intención maliciosa. Malicious Intent:**
The evidence suggests this was primarily a systemic governance failure (lack of formal processes) rather than negligence or malicious intent.
Services Australia demostró conciencia de las preocupaciones de seguridad y estaba realizando evaluaciones [4]. Services Australia demonstrated awareness of security concerns and was conducting assessments [4].
El fracaso fue en no tener establecidos canales bien publicitados y receptivos para que los investigadores reporten vulnerabilidades—un problema de proceso en lugar de un problema técnico. **Contexto de Práctica de la Industria:** Los programas de divulgación de vulnerabilidades (PDV) y recompensas por errores se han convertido en una práctica estándar de la industria en las principales empresas tecnológicas y, cada vez más, en agencias gubernamentales. The failure was in not having established, well-publicized, responsive channels for researchers to report vulnerabilities—a process issue rather than a technical issue.
**Industry Practice Context:**
Vulnerability disclosure programs (VDPs) and bug bounties have become industry standard practice across major tech companies and, increasingly, government agencies.
El ASD y Cyber.gov.au han publicado guías sobre la implementación de PDV [12]. The ASD and Cyber.gov.au have published guidance on implementing VDPs [12].
Para 2021, la ausencia de un PDV formal para un sistema de seguridad COVID público estaba notablemente por detrás de las mejores prácticas actuales, aunque no era único de Australia o del gobierno de la Coalición en ese momento. **Contexto clave:** El problema de divulgación de vulnerabilidades es genuínicamente problemático y representa un fracaso para seguir las mejores prácticas establecidas de ciberseguridad. By 2021, the absence of a formal VDP for a public-facing COVID safety system was notably behind current best practices, though it wasn't unique to Australia or the Coalition government at that time.
**Key context:** The vulnerability disclosure issue is genuinely problematic and represents a failure to follow established cybersecurity best practices.
Sin embargo, no está claro que esto fuera único de la respuesta COVID de la Coalición o que los gobiernos del Labor necesariamente lo hubieran manejado diferente—el caso de My Health Record demuestra que la gobernanza del sistema de salud digital ha sido desafiante a través de los partidos. However, it's not clear this was unique to the Coalition's COVID response or that Labor governments would necessarily have handled it differently—the My Health Record case shows digital health system governance has been challenging across parties.
PARCIALMENTE VERDADERO
6.0
/ 10
Los reclamos factuales específicos sobre la falta de un programa de divulgación de vulnerabilidades de Services Australia y la dificultad para reportar vulnerabilidades son **precisos y verificados**.
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
Sin embargo, la afirmación más amplia requiere calificación: 1. ✅ **VERDADERO:** Services Australia no tenía un programa de divulgación de vulnerabilidades y declaró explícitamente que no tenía planes para implementar uno [4] 2. ✅ **VERDADERO:** Reportar vulnerabilidades era innecesariamente difícil y no existía un proceso efectivo [1] 3. ✅ **VERDADERO:** La respuesta fue lenta y solo se aceleró después de la divulgación pública [1] 4. ⚠️ **PARCIALMENTE VERDADERO:** Las afirmaciones sobre "no seguir las mejores prácticas de ciberseguridad" son válidas, pero el gobierno estaba realizando evaluaciones cibernéticas y trabajando con el ASD; el fracaso fue específicamente en los procesos públicos de divulgación de vulnerabilidades, no en todas las prácticas de ciberseguridad [4] 5. ⚠️ **ENFOQUE ENGAÑOSO:** La implicación de la afirmación de que esto fue una mala gestión única y flagrante de la era de la Coalición no está bien sustentada. However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
Los proyectos de salud digital del gobierno del Labor (My Health Record) enfrentaron problemas similares de gobernanza y confianza de seguridad [10, 11] 6. ⚠️ **CONTEXTO FALTANTE:** Durante las condiciones de la pandemia en 2021, el despliegue rápido de infraestructura de salud pública a veces compitió con la madurez de seguridad; esto no excusa el fracaso pero proporciona contexto El veredicto es que los hechos centrales son sólidos, la crítica es legítima, pero el enfoque exagera la singularidad o severidad sin reconocer problemas comparables en la gobernanza de salud digital del Labor. Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
Puntuación Final
6.0
/ 10
PARCIALMENTE VERDADERO
Los reclamos factuales específicos sobre la falta de un programa de divulgación de vulnerabilidades de Services Australia y la dificultad para reportar vulnerabilidades son **precisos y verificados**.
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
Sin embargo, la afirmación más amplia requiere calificación: 1. ✅ **VERDADERO:** Services Australia no tenía un programa de divulgación de vulnerabilidades y declaró explícitamente que no tenía planes para implementar uno [4] 2. ✅ **VERDADERO:** Reportar vulnerabilidades era innecesariamente difícil y no existía un proceso efectivo [1] 3. ✅ **VERDADERO:** La respuesta fue lenta y solo se aceleró después de la divulgación pública [1] 4. ⚠️ **PARCIALMENTE VERDADERO:** Las afirmaciones sobre "no seguir las mejores prácticas de ciberseguridad" son válidas, pero el gobierno estaba realizando evaluaciones cibernéticas y trabajando con el ASD; el fracaso fue específicamente en los procesos públicos de divulgación de vulnerabilidades, no en todas las prácticas de ciberseguridad [4] 5. ⚠️ **ENFOQUE ENGAÑOSO:** La implicación de la afirmación de que esto fue una mala gestión única y flagrante de la era de la Coalición no está bien sustentada. However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
Los proyectos de salud digital del gobierno del Labor (My Health Record) enfrentaron problemas similares de gobernanza y confianza de seguridad [10, 11] 6. ⚠️ **CONTEXTO FALTANTE:** Durante las condiciones de la pandemia en 2021, el despliegue rápido de infraestructura de salud pública a veces compitió con la madurez de seguridad; esto no excusa el fracaso pero proporciona contexto El veredicto es que los hechos centrales son sólidos, la crítica es legítima, pero el enfoque exagera la singularidad o severidad sin reconocer problemas comparables en la gobernanza de salud digital del Labor. Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
📚 FUENTES Y CITAS (11)
-
1
The need for an Australian Government Vulnerability Disclosure Policy - Richard Nelson, Medium
Recently, I found a weakness in the Express Plus Medicare application’s COVID-19 digital certificate:
Medium -
2
COVID-19 vaccination certificates at risk of forgery after discovery of - ABC News
The federal government's COVID-19 vaccine certificate can be forged using a widely known technique to bypass the protections, a member of the public has found.
Abc Net -
3
Services Australia brushes off vulnerability concerns in COVID-19 digital certificates - ZDNet, Campbell Kwan
There are no vulnerability disclosure programs in place nor any future plans to implement such a thing for Australia's COVID-19 digital certificate.
ZDNET -
4
Vulnerability Disclosure Program - Department of Home Affairs
Home Affairs brings together Australia's federal law enforcement, national and transport security, criminal justice, emergency management, multicultural affairs, settlement services and immigration and border-related functions, working together to keep Australia safe.
Department of Home Affairs Website -
5
Service NSW Vulnerability Disclosure Program via Bugcrowd
Learn more about Service NSW’s Vulnerability Disclosure engagement powered by Bugcrowd, the leader in crowdsourced security solutions.
Bugcrowd -
6
Service NSW official page
Service NSW welcomes vulnerability reports that help us to provide safe and secure services to our customers.
Service NSW -
7
ZDNet Editorial Standards and contributor information
Discover ZDNET's editorial mission, how we evaluate products and our commitment to transparency about our business practices.
ZDNET -
8
Privacy concerns of the Australian My Health Record: Implications for patient autonomy and consent - Science Direct
Sciencedirect
-
9
My Health Record: privacy concern sparks calls from Labor to suspend rollout - Daily Telegraph
Dailytelegraph Com
-
10
Vulnerability Disclosure Programs explained - Cyber.gov.au
Cyber Gov
-
11
ASD Responsible Release Principles
Asd Gov
Metodología de la Escala de Calificación
1-3: FALSO
Fácticamente incorrecto o fabricación maliciosa.
4-6: PARCIAL
Algo de verdad pero falta contexto o está sesgado.
7-9: MAYORMENTE VERDADERO
Tecnicismos menores o problemas de redacción.
10: PRECISO
Perfectamente verificado y contextualmente justo.
Metodología: Las calificaciones se determinan mediante la verificación cruzada de registros gubernamentales oficiales, organizaciones independientes de verificación de hechos y documentos de fuentes primarias.