C0024
L'affirmation
“N'a pas suivi les meilleures pratiques de cybersécurité pour les certificats numériques COVID. Il n'existe aucun moyen efficace de signaler les vulnérabilités, sans parler de programmes de primes aux bugs pour décourager la vente de vulnérabilités à des criminels. Lorsque le gouvernement est finalement informé des vulnérabilités dans son application, il ne répond pas et ne les résout pas de manière opportune.”
Source originale : Matthew Davis
Analysé : 29 Jan 2026
Sources originales
✅ VÉRIFICATION FACTUELLE
### Vulnérabilité du système de certificat numérique COVID
### Vulnerability in COVID Digital Certificate System
Les faits principaux de cette affirmation sont largement vérifiés. The core facts of the claim are substantially verified.
Richard Nelson, un chercheur en sécurité crédible, a découvert une vulnérabilité significative dans le système de certificat numérique COVID-19 d'Australian Express Plus Medicare en septembre 2021 [1]. Richard Nelson, a credible security researcher, discovered a significant vulnerability in Australia's Express Plus Medicare COVID-19 digital certificate system in September 2021 [1].
Nelson a constaté qu'il était trivial de faire afficher à l'application Medicare un certificat COVID-19 de vaccination valide à travers ce qu'il décrit comme une vulnérabilité « man-in-the-middle » [2]. Nelson found it was trivial to make the Medicare app display a valid-looking COVID-19 vaccine certificate through what he describes as a "man-in-the-middle" vulnerability [2].
Cette découverte a été largement rapportée par les médias grand public, y compris l'ABC [3]. This finding was widely reported by mainstream media, including the ABC [3].
### Absence de programme de divulgation des vulnérabilités ### Lack of Vulnerability Disclosure Program
L'affirmation concernant l'absence d'un programme formel de divulgation des vulnérabilités est confirmée par les déclarations gouvernementales. The claim about the absence of a formal vulnerability disclosure program is confirmed by government statements.
Lors des audiences des estimations budgétaires à la fin de 2021, lorsque des sénateurs travaillistes ont interrogé Services Australia sur les vulnérabilités de sécurité, l'agence a explicitement déclaré : « Il n'y a actuellement aucun programme de divulgation des vulnérabilités en place ni aucun plan futur pour mettre en œuvre un tel programme pour les certificats numériques de vaccination » [4]. During Budget Estimates hearings in late 2021, when grilled by Labor senators about the security vulnerabilities, Services Australia explicitly stated: "There are currently no vulnerability disclosure programs in place nor any future plans to implement such a program for the digital vaccination certificates" [4].
De plus, la Digital Transformation Agency (DTA) a déclaré qu'elle n'avait « aucun projet d'envisager l'établissement de programmes de primes » [5]. Additionally, the Digital Transformation Agency (DTA) stated it had "no plans to consider establishing bounty programs" [5].
### Difficulté à signaler les vulnérabilités ### Difficulty Reporting Vulnerabilities
L'expérience personnelle de Nelson corrobore la deuxième partie de l'affirmation. Nelson's personal experience corroborates the second part of the claim.
Lorsqu'il a découvert la vulnérabilité, il a fait face à des défis importants pour la signaler par les canaux appropriés [1]. When he discovered the vulnerability, he faced significant challenges in reporting it through proper channels [1].
Il a tenté plusieurs voies de signalement : - A tenté d'appeler Services Australia directement mais a abandonné après avoir été mis en attente [1] - A constaté que le Department of Health avait une politique de divulgation des vulnérabilités, mais qu'Express Plus Medicare relevait de Services Australia, pas de Health [1] - L'a signalé via ReportCyber et l'Australian Signals Directorate (ASD), mais n'a reçu aucune réponse avant plusieurs jours [1] - Ce n'est qu'après avoir tweeté publiquement sur la vulnérabilité et avoir été contacté par des journalistes que Services Australia semble avoir pris des mesures [1] He attempted multiple reporting pathways:
- Tried calling Services Australia directly but gave up after being placed on hold [1]
- Found the Department of Health had a Vulnerability Disclosure Policy, but Express Plus Medicare fell under Services Australia, not Health [1]
- Reported it via ReportCyber and the Australian Signals Directorate (ASD), but received no response until days later [1]
- Only after publicly tweeting about the vulnerability and being contacted by journalists did Services Australia appear to take action [1]
### Réactivité et rapidité de résolution ### Response and Remediation Timeliness
Les preuves soutiennent la critique concernant la rapidité de réponse. The evidence supports criticism of response timeliness.
Nelson a noté que Services Australia ne l'avait pas contacté après qu'il soit allé public via Twitter et les médias, probablement parce que le problème était devenu sensible et que l'agence voulait éviter une couverture médiatique supplémentaire [1]. Nelson noted that Services Australia did not reach out to him after he went public via Twitter and media, likely because the issue had become sensitive and the agency wanted to avoid additional press coverage [1].
Cela démontre une approche réactive plutôt que proactive de la gestion des vulnérabilités. This demonstrates a reactive rather than proactive approach to vulnerability handling.
Cependant, les sources ne fournissent pas de preuves explicites de délais de résolution prolongés après le signalement initial ou la divulgation publique. However, the sources do not provide explicit evidence of extended remediation timelines after the initial reporting or public disclosure.
Contexte manquant
L'affirmation nécessite un contexte supplémentaire significatif : **1.
The claim requires significant additional context:
**1.
Un cadre de cybersécurité gouvernemental existait :** Services Australia prétendait effectuer des « évaluations complètes de cybersécurité plusieurs fois par an » et a déclaré qu'elle « travaille en étroite collaboration avec l'Australian Signals Directorate et l'Australian Cyber Security Centre sur les vulnérabilités potentielles des applications mobiles » [4]. Government Cybersecurity Framework Existed:** Services Australia claimed to undertake "full cyber assessments several times a year" and stated it "work[s] closely with the Australian Signals Directorate and Australian Cyber Security Centre on potential vulnerabilities on mobile applications" [4].
Cela indique que le gouvernement avait bien des processus de cybersécurité en place, même s'ils n'étaient pas suffisants pour traiter les signalements de chercheurs. **2. This indicates the government did have cybersecurity processes in place, though they were not sufficient for handling researcher reports.
**2.
Certains organismes avaient des programmes de divulgation des vulnérabilités :** Alors que Services Australia n'avait pas de VDP, d'autres organismes gouvernementaux australiens en avaient mis en œuvre. Some Agencies Had Vulnerability Disclosure Programs:** While Services Australia lacked a VDP, other Australian government agencies had implemented them.
Le Department of Home Affairs avait un programme de divulgation des vulnérabilités en place [6], et Service NSW exploitait un programme de primes aux bugs via Bugcrowd [7]. The Department of Home Affairs had a Vulnerability Disclosure Program in place [6], and Service NSW operated a bug bounty program through Bugcrowd [7].
Cela suggère une mise en œuvre incohérente entre les organismes plutôt qu'un échec de politique à l'échelle du gouvernement. **3. Évaluation de la gravité :** Services Australia a caractérisé l'attaque requise comme quelque chose qui « nécessite des connaissances et une expertise significatives » [4], suggérant qu'elle considérait le risque pratique comme plus faible que ce que la vulnérabilité théorique pourrait suggérer. This suggests inconsistent implementation across agencies rather than a government-wide policy failure.
**3.
Cependant, cette défense est faible — les vulnérabilités de sécurité devraient être traitées indépendamment de la complexité de l'attaque. **4. Severity Assessment:** Services Australia characterized the required attack as something that "require[s] significant knowledge and expertise" [4], suggesting they viewed the practical risk as lower than the theoretical vulnerability might suggest.
Falsification vs. altération :** La vulnérabilité impliquait de faire afficher à l'application un faux certificat (vulnérabilité côté client) plutôt que de créer des faux certificats qui passeraient la validation backend. However, this defense is weak—security vulnerabilities should be addressed regardless of attack complexity.
**4.
Le tweet de Nelson lui-même soulignait la facilité de la vulnérabilité d'affichage, mais il y a peu de preuves que le registre sous-jacent pouvait être falsifié [3]. **5. Forgeability vs.
Calendrier du déploiement :** Le certificat numérique COVID-19 a été introduit relativement rapidement dans des conditions de pandémie (déployé à la mi-2021) [8]. Tampering:** The vulnerability involved making the app display a false certificate (client-side vulnerability) rather than creating counterfeit certificates that would pass backend validation.
Ce contexte n'excuse pas les lacunes de sécurité, mais explique une partie de la pression pour déployer rapidement. Nelson's own tweet emphasized the ease of the display vulnerability, but there's limited evidence the underlying registry could be spoofed [3].
**5.
Évaluation de la crédibilité de la source
### Sources originales
### Original Sources
**Richard Nelson (article Medium) :** - Chercheur en sécurité crédible avec une expertise technique démontrable ; ses autres articles Medium montrent une connaissance technique approfondie des systèmes de sécurité gouvernementaux (analyse COVIDSafe, rétro-ingénierie du permis de conduire Service NSW) [1] - Récit personnel de la tentative de divulgation responsable ; fait un effort authentique pour suivre les procédures appropriées avant d'aller public [1] - Transparent sur sa frustration et son état émotionnel ; reconnaît la difficulté de sa position [1] - Semble motivé par la sécurité publique, pas par la politique partisane ; aucune preuve d'alignement politique envers les travaillistes [1] **ZDNet (article de Campbell Kwan) :** - Média d'actualités technologiques grand public avec des standards éditoriaux [9] - Rapporte sur les procédures des estimations budgétaires, qui sont des documents publics enregistrés [4] - Cite avec précision les déclarations du gouvernement ; les citations sont vérifiables [4] - Campbell Kwan est un contributeur régulier sur les questions de technologie gouvernementale [9] - Cependant, l'article met l'accent sur les critiques des sénateurs travaillistes et n'explore pas en profondeur la justification gouvernementale ou le contexte atténuant **Richard Nelson (Medium article):**
- Credible security researcher with demonstrable expertise; his other Medium articles show deep technical knowledge of government security systems (COVIDSafe analysis, Service NSW driver license reverse engineering) [1]
- Personal account of attempting responsible disclosure; makes genuine effort to follow proper procedures before going public [1]
- Transparent about his frustration and emotional state; acknowledges the difficulty of his position [1]
- Appears motivated by public security, not partisan politics; no evidence of political alignment toward Labor [1]
**ZDNet (Campbell Kwan article):**
- Mainstream technology news outlet with editorial standards [9]
- Reports on Budget Estimates proceedings, which are documented public records [4]
- Accurately cites the government's own statements; quotes are verifiable [4]
- Campbell Kwan is a regular contributor on government technology issues [9]
- However, the article emphasizes criticism from Labor senators and doesn't deeply explore government rationale or mitigating context
### Évaluation du biais ### Bias Assessment
Aucune source ne semble principalement motivée par un biais partisan, bien que l'article ZDNet donne une place importante aux critiques des sénateurs travaillistes dans un contexte d'estimations budgétaires fédérales. Neither source appears primarily motivated by partisan bias, though the ZDNet article gives prominence to Labor senators' criticisms in a federal Budget Estimates context.
Les sources sont factuelles et vérifiables, bien qu'elles mettent l'accent sur les échecs gouvernementaux plutôt que de fournir un contexte équilibré. The sources are factual and verifiable, though they emphasize government failures rather than providing balanced context.
C'est approprié pour un reportage sur la sécurité — la vulnérabilité était réelle et la réponse était inadéquate — mais le cadrage est intrinsèquement critique plutôt que neutre. This is appropriate for security reporting—the vulnerability was real and the response was inadequate—but the framing is inherently critical rather than neutral.
⚖️
Comparaison avec Labor
**Les gouvernements travaillistes ont-ils eu des problèmes de cybersécurité importants avec les systèmes de santé numériques ?** Recherche effectuée : « gouvernement travailliste cybersécurité système de santé numérique australien brèche de confidentialité My Health Records » La gestion par les travaillistes du système My Health Record montre un précédent pertinent.
**Did Labor have significant cybersecurity issues with digital health systems?**
Search conducted: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records"
Labor's handling of the My Health Record system shows relevant precedent.
Le My Health Record a été introduit par le gouvernement travailliste en 2012 et est devenu très controversé [10]. The My Health Record was introduced by the Labor government in 2012 and became highly controversial [10].
Le système a fait face à des préoccupations de confidentialité importantes, conduisant les travaillistes eux-mêmes à appeler à une suspension du déploiement lorsque la Coalition l'a étendu [11]. The system faced significant privacy concerns, leading Labor itself to call for a suspension of the rollout when the Coalition expanded it [11].
Le Privacy Commissioner a soulevé des préoccupations, et il y a eu un mécontentement public considérable [10]. The Privacy Commissioner raised concerns, and there was substantial public backlash [10].
Bien que cela représente un échec de politique plus large (conception défectueuse dès le départ) plutôt qu'un problème spécifique de divulgation des vulnérabilités de cybersécurité, cela démontre que les gouvernements travaillistes ont également eu des difficultés avec la sécurité des systèmes de santé numériques et la confiance du public dans des domaines similaires. **Incident de cybersécurité comparable :** Il n'y a pas de preuves que les systèmes de santé numériques du gouvernement travailliste aient fait face à des lacunes similaires en matière de politiques de divulgation des vulnérabilités de cybersécurité pendant leur période au gouvernement (2007-2013). While this represents a broader policy failure (flawed design from the start) rather than a cybersecurity vulnerability disclosure issue specifically, it demonstrates that Labor governments have also struggled with digital health system security and public trust in similar areas.
**Comparable Cybersecurity Incident:** There is no evidence of Labor government digital health systems facing similar cybersecurity vulnerability disclosure policy gaps during their period in government (2007-2013).
Cependant, le thème plus large d'une gouvernance de la sécurité numérique inadéquate semble être un problème systémique du gouvernement australien à travers les partis plutôt qu'unique à la Coalition. However, the broader theme of inadequate digital security governance appears to be a systemic Australian government issue across parties rather than unique to the Coalition.
🌐
Perspective équilibrée
**Position du gouvernement :** Services Australia a maintenu que le système de certificat numérique COVID-19 comprenait plusieurs couches de sécurité et que la vulnérabilité découverte nécessitait « des connaissances et une expertise significatives » pour être exploitée [4].
**Government's Position:**
Services Australia maintained that the COVID-19 digital certificate system included multiple security layers and that the vulnerability discovered required "significant knowledge and expertise" to exploit [4].
L'agence a souligné qu'elle coopérait avec l'Australian Signals Directorate et effectuait des évaluations régulières de cybersécurité [4]. The agency emphasized it was cooperating with the Australian Signals Directorate and conducting regular cyber assessments [4].
La perspective du gouvernement était que, bien que la vulnérabilité devait être résolue, elle ne constituait pas un échec critique nécessitant une révision immédiate de l'ensemble du système. **Perspective d'expert en sécurité :** La position de Richard Nelson est bien raisonnée d'un point de vue de gouvernance de la sécurité : même si une vulnérabilité nécessite de l'expertise pour être exploitée, des canaux appropriés pour la divulgation responsable devraient exister. The government's perspective was that while the vulnerability should be addressed, it was not a critical failure requiring immediate overhaul of the entire system.
**Security Expert Perspective:**
Richard Nelson's position is well-reasoned from a security governance standpoint: even if a vulnerability requires expertise to exploit, proper channels for responsible disclosure should exist.
Il soutient qu'il s'agit d'une pratique standard de l'industrie et que l'absence de tels canaux est ce qui l'a forcé à rendre le problème public [1]. He argues this is standard industry practice and that the absence of such channels is what forced him to make the issue public [1].
C'est une préoccupation légitime concernant la maturité de la sécurité institutionnelle, pas seulement l'existence d'une seule vulnérabilité. **Problème systémique vs. intention malveillante :** Les preuves suggèrent qu'il s'agissait principalement d'un échec de gouvernance systémique (absence de processus formels) plutôt que de négligence ou d'intention malveillante. This is a legitimate concern about institutional security maturity, not just about the existence of any single vulnerability.
**Systemic Issue vs.
Services Australia a démontré une prise de conscience des préoccupations de sécurité et effectuait des évaluations [4]. Malicious Intent:**
The evidence suggests this was primarily a systemic governance failure (lack of formal processes) rather than negligence or malicious intent.
L'échec résidait dans l'absence de canaux établis, bien publicisés et réactifs pour que les chercheurs signalent les vulnérabilités — un problème de processus plutôt qu'un problème technique. **Contexte des pratiques industrielles :** Les programmes de divulgation des vulnérabilités (VDP) et les primes aux bugs sont devenus une pratique standard de l'industrie dans les grandes entreprises technologiques et, de plus en plus, dans les organismes gouvernementaux. Services Australia demonstrated awareness of security concerns and was conducting assessments [4].
L'ASD et Cyber.gov.au ont publié des conseils sur la mise en œuvre des VDP [12]. The failure was in not having established, well-publicized, responsive channels for researchers to report vulnerabilities—a process issue rather than a technical issue.
**Industry Practice Context:**
Vulnerability disclosure programs (VDPs) and bug bounties have become industry standard practice across major tech companies and, increasingly, government agencies.
D'ici 2021, l'absence de VDP formel pour un système de sécurité COVID public était notablement en retard par rapport aux meilleures pratiques actuelles, bien que cela ne soit pas unique à l'Australie ou au gouvernement de la Coalition à ce moment-là. **Contexte clé :** Le problème de divulgation des vulnérabilités est véritablement problématique et représente un échec à suivre les meilleures pratiques établies de cybersécurité. The ASD and Cyber.gov.au have published guidance on implementing VDPs [12].
Cependant, il n'est pas clair qu'il s'agissait d'une réponse COVID unique de la Coalition ou que les gouvernements travaillistes l'auraient nécessairement géré différemment — le cas My Health Record montre que la gouvernance des systèmes de santé numériques a été difficile à travers les partis. By 2021, the absence of a formal VDP for a public-facing COVID safety system was notably behind current best practices, though it wasn't unique to Australia or the Coalition government at that time.
**Key context:** The vulnerability disclosure issue is genuinely problematic and represents a failure to follow established cybersecurity best practices.
PARTIELLEMENT VRAI
6.0
sur 10
Les affirmations factuelles spécifiques concernant l'absence de programme de divulgation des vulnérabilités de Services Australia et la difficulté à signaler les vulnérabilités sont **exactes et vérifiées**.
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
Cependant, l'affirmation plus large nécessite une qualification : 1. ✅ **VRAI :** Services Australia n'avait pas de programme de divulgation des vulnérabilités et a explicitement déclaré qu'il n'avait aucun projet d'en mettre un en place [4] 2. ✅ **VRAI :** Le signalement des vulnérabilités était inutilement difficile et aucun processus efficace n'existait [1] 3. ✅ **VRAI :** La réponse était lente et ne s'est accélérée qu'après la divulgation publique [1] 4. ⚠️ **PARTIELLEMENT VRAI :** Les affirmations concernant le fait de « ne pas suivre les meilleures pratiques de cybersécurité » sont valides, mais le gouvernement effectuait des évaluations de cybersécurité et travaillait avec l'ASD ; l'échec concernait spécifiquement les processus publics de divulgation des vulnérabilités, pas toutes les pratiques de cybersécurité [4] 5. ⚠️ **CADRE TROMPEUR :** L'implication de l'affirmation selon laquelle il s'agissait d'une gestion particulièrement inacceptable de l'époque de la Coalition n'est pas bien étayée. However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
Les projets de santé numérique du gouvernement travailliste (My Health Record) ont fait face à des problèmes similaires de gouvernance et de confiance en matière de sécurité [10, 11] 6. ⚠️ **CONTEXTE MANQUANT :** Dans les conditions de pandémie en 2021, le déploiement rapide des infrastructures de santé publique entrait parfois en compétition avec la maturité de la sécurité ; cela n'excuse pas l'échec mais fournit du contexte Le verdict est que les faits de base sont solides, la critique est légitime, mais le cadrage exagère l'unicité ou la gravité sans reconnaître les problèmes comparables dans la gouvernance de la santé numérique des travaillistes. Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
Score final
6.0
SUR 10
PARTIELLEMENT VRAI
Les affirmations factuelles spécifiques concernant l'absence de programme de divulgation des vulnérabilités de Services Australia et la difficulté à signaler les vulnérabilités sont **exactes et vérifiées**.
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
Cependant, l'affirmation plus large nécessite une qualification : 1. ✅ **VRAI :** Services Australia n'avait pas de programme de divulgation des vulnérabilités et a explicitement déclaré qu'il n'avait aucun projet d'en mettre un en place [4] 2. ✅ **VRAI :** Le signalement des vulnérabilités était inutilement difficile et aucun processus efficace n'existait [1] 3. ✅ **VRAI :** La réponse était lente et ne s'est accélérée qu'après la divulgation publique [1] 4. ⚠️ **PARTIELLEMENT VRAI :** Les affirmations concernant le fait de « ne pas suivre les meilleures pratiques de cybersécurité » sont valides, mais le gouvernement effectuait des évaluations de cybersécurité et travaillait avec l'ASD ; l'échec concernait spécifiquement les processus publics de divulgation des vulnérabilités, pas toutes les pratiques de cybersécurité [4] 5. ⚠️ **CADRE TROMPEUR :** L'implication de l'affirmation selon laquelle il s'agissait d'une gestion particulièrement inacceptable de l'époque de la Coalition n'est pas bien étayée. However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
Les projets de santé numérique du gouvernement travailliste (My Health Record) ont fait face à des problèmes similaires de gouvernance et de confiance en matière de sécurité [10, 11] 6. ⚠️ **CONTEXTE MANQUANT :** Dans les conditions de pandémie en 2021, le déploiement rapide des infrastructures de santé publique entrait parfois en compétition avec la maturité de la sécurité ; cela n'excuse pas l'échec mais fournit du contexte Le verdict est que les faits de base sont solides, la critique est légitime, mais le cadrage exagère l'unicité ou la gravité sans reconnaître les problèmes comparables dans la gouvernance de la santé numérique des travaillistes. Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
📚 SOURCES ET CITATIONS (11)
-
1
The need for an Australian Government Vulnerability Disclosure Policy - Richard Nelson, Medium
Recently, I found a weakness in the Express Plus Medicare application’s COVID-19 digital certificate:
Medium -
2
COVID-19 vaccination certificates at risk of forgery after discovery of - ABC News
The federal government's COVID-19 vaccine certificate can be forged using a widely known technique to bypass the protections, a member of the public has found.
Abc Net -
3
Services Australia brushes off vulnerability concerns in COVID-19 digital certificates - ZDNet, Campbell Kwan
There are no vulnerability disclosure programs in place nor any future plans to implement such a thing for Australia's COVID-19 digital certificate.
ZDNET -
4
Vulnerability Disclosure Program - Department of Home Affairs
Home Affairs brings together Australia's federal law enforcement, national and transport security, criminal justice, emergency management, multicultural affairs, settlement services and immigration and border-related functions, working together to keep Australia safe.
Department of Home Affairs Website -
5
Service NSW Vulnerability Disclosure Program via Bugcrowd
Learn more about Service NSW’s Vulnerability Disclosure engagement powered by Bugcrowd, the leader in crowdsourced security solutions.
Bugcrowd -
6
Service NSW official page
Service NSW welcomes vulnerability reports that help us to provide safe and secure services to our customers.
Service NSW -
7
ZDNet Editorial Standards and contributor information
Discover ZDNET's editorial mission, how we evaluate products and our commitment to transparency about our business practices.
ZDNET -
8
Privacy concerns of the Australian My Health Record: Implications for patient autonomy and consent - Science Direct
Sciencedirect
-
9
My Health Record: privacy concern sparks calls from Labor to suspend rollout - Daily Telegraph
Dailytelegraph Com
-
10
Vulnerability Disclosure Programs explained - Cyber.gov.au
Cyber Gov
-
11
ASD Responsible Release Principles
Asd Gov
Méthodologie de l'échelle de notation
1-3: FAUX
Factuellement incorrect ou fabrication malveillante.
4-6: PARTIEL
Une part de vérité mais le contexte manque ou est biaisé.
7-9: MAJORITAIREMENT VRAI
Détails techniques mineurs ou problèmes de formulation.
10: EXACT
Parfaitement vérifié et contextuellement équitable.
Méthodologie: Les notations sont déterminées par recoupement des documents gouvernementaux officiels, des organisations indépendantes de vérification des faits et des documents sources primaires.