C0024
Klaim
“Tidak mengikuti praktik terbaik keamanan siber untuk vaksin digital COVID. Mereka tidak memiliki cara efektif untuk melaporkan kerentanan, apalagi memiliki bug bounty untuk menghalangi penjualan kerentanan kepada kriminal. Ketika pemerintah akhirnya mengetahui adanya kerentanan dalam aplikasi mereka, mereka tidak merespons atau menyelesaikannya secara tepat waktu.”
Sumber Asli: Matthew Davis
Dianalisis: 29 Jan 2026
Sumber Asli
✅ VERIFIKASI FAKTA
### Kerentanan dalam Sistem Sertifikat Digital COVID
### Vulnerability in COVID Digital Certificate System
Fakta inti dari klaim ini secara substansial terverifikasi. The core facts of the claim are substantially verified.
Richard Nelson, peneliti keamanan yang kredibel, menemukan kerentanan signifikan dalam sistem sertifikat digital COVID-19 Express Plus Medicare Australia pada September 2021 [1]. Richard Nelson, a credible security researcher, discovered a significant vulnerability in Australia's Express Plus Medicare COVID-19 digital certificate system in September 2021 [1].
Nelson menemukan bahwa sangat mudah untuk membuat aplikasi Medicare menampilkan sertifikat vaksin COVID-19 yang terlihat valid melalui apa yang ia sebut sebagai kerentanan "man-in-the-middle" [2]. Nelson found it was trivial to make the Medicare app display a valid-looking COVID-19 vaccine certificate through what he describes as a "man-in-the-middle" vulnerability [2].
Temuan ini dilaporkan secara luas oleh media arus utama, termasuk ABC [3]. This finding was widely reported by mainstream media, including the ABC [3].
### Kurangnya Program Pengungkapan Kerentanan ### Lack of Vulnerability Disclosure Program
Klaim tentang tidak adanya program pengungkapan kerentanan formal dikonfirmasi oleh pernyataan pemerintah. The claim about the absence of a formal vulnerability disclosure program is confirmed by government statements.
Selama sidang Budget Estimates pada akhir 2021, ketika diinterogasi oleh senator Labor tentang kerentanan keamanan, Services Australia secara eksplisit menyatakan: "Saat ini tidak ada program pengungkapan kerentanan yang berjalan dan tidak ada rencana mendatang untuk menerapkan program tersebut untuk sertifikat vaksinasi digital" [4]. During Budget Estimates hearings in late 2021, when grilled by Labor senators about the security vulnerabilities, Services Australia explicitly stated: "There are currently no vulnerability disclosure programs in place nor any future plans to implement such a program for the digital vaccination certificates" [4].
Selain itu, Digital Transformation Agency (DTA) menyatakan bahwa mereka "tidak memiliki rencana untuk mempertimbangkan pembentukan program bounty" [5]. Additionally, the Digital Transformation Agency (DTA) stated it had "no plans to consider establishing bounty programs" [5].
### Kesulitan Melaporkan Kerentanan ### Difficulty Reporting Vulnerabilities
Pengalaman pribadi Nelson menguatkan bagian kedua dari klaim ini. Nelson's personal experience corroborates the second part of the claim.
Ketika ia menemukan kerentanan tersebut, ia menghadapi tantangan signifikan dalam melaporkannya melalui saluran yang tepat [1]. When he discovered the vulnerability, he faced significant challenges in reporting it through proper channels [1].
Ia mencoba beberapa jalur pelaporan: - Mencoba menghubungi Services Australia secara langsung tetapi menyerah setelah menunggu dalam antrean [1] - Menemukan bahwa Department of Health memiliki Kebijakan Pengungkapan Kerentanan, tetapi Express Plus Medicare berada di bawah Services Australia, bukan Health [1] - Melaporkannya melalui ReportCyber dan Australian Signals Directorate (ASD), tetapi tidak menerima respons sampai beberapa hari kemudian [1] - Hanya setelah men-tweet secara publik tentang kerentanan tersebut dan dihubungi oleh jurnalis Services Australia tampaknya mengambil tindakan [1] He attempted multiple reporting pathways:
- Tried calling Services Australia directly but gave up after being placed on hold [1]
- Found the Department of Health had a Vulnerability Disclosure Policy, but Express Plus Medicare fell under Services Australia, not Health [1]
- Reported it via ReportCyber and the Australian Signals Directorate (ASD), but received no response until days later [1]
- Only after publicly tweeting about the vulnerability and being contacted by journalists did Services Australia appear to take action [1]
### Tepat Waktu Respons dan Perbaikan ### Response and Remediation Timeliness
Bukti mendukung kritik terhadap ketepatan waktu respons. The evidence supports criticism of response timeliness.
Nelson mencatat bahwa Services Australia tidak menghubunginya setelah ia mengungkapkan secara publik melalui Twitter dan media, kemungkinan karena masalah tersebut menjadi sensitif dan lembaga tersebut ingin menghindari liputan pers tambahan [1]. Nelson noted that Services Australia did not reach out to him after he went public via Twitter and media, likely because the issue had become sensitive and the agency wanted to avoid additional press coverage [1].
Ini menunjukkan pendekatan yang reaktif daripada proaktif terhadap penanganan kerentanan. This demonstrates a reactive rather than proactive approach to vulnerability handling.
Namun, sumber-sumber tidak memberikan bukti eksplisit tentang waktu perbaikan yang diperpanjang setelah pelaporan awal atau pengungkapan publik. However, the sources do not provide explicit evidence of extended remediation timelines after the initial reporting or public disclosure.
Konteks yang Hilang
Klaim ini memerlukan konteks tambahan yang signifikan: **1.
The claim requires significant additional context:
**1.
Kerangka Keamanan Siber Pemerintah Eksis:** Services Australia mengklaim melakukan "penilaian siber penuh beberapa kali setahun" dan menyatakan "bekerja sama dengan Australian Signals Directorate dan Australian Cyber Security Centre tentang potensi kerentanan pada aplikasi seluler" [4]. Government Cybersecurity Framework Existed:** Services Australia claimed to undertake "full cyber assessments several times a year" and stated it "work[s] closely with the Australian Signals Directorate and Australian Cyber Security Centre on potential vulnerabilities on mobile applications" [4].
Ini menunjukkan bahwa pemerintah memang memiliki proses keamanan siber, meskipun tidak memadai untuk menangani laporan peneliti. **2. This indicates the government did have cybersecurity processes in place, though they were not sufficient for handling researcher reports.
**2.
Beberapa Lembaga Memiliki Program Pengungkapan Kerentanan:** Meskipun Services Australia tidak memiliki VDP, lembaga-lembaga pemerintah Australia lainnya telah menerapkannya. Some Agencies Had Vulnerability Disclosure Programs:** While Services Australia lacked a VDP, other Australian government agencies had implemented them.
Department of Home Affairs memiliki Program Pengungkapan Kerentanan yang sudah berjalan [6], dan Service NSW mengoperasikan program bug bounty melalui Bugcrowd [7]. The Department of Home Affairs had a Vulnerability Disclosure Program in place [6], and Service NSW operated a bug bounty program through Bugcrowd [7].
Ini menunjukkan penerapan yang tidak konsisten di seluruh lembaga daripada kegagalan kebijakan di seluruh pemerintah. **3. This suggests inconsistent implementation across agencies rather than a government-wide policy failure.
**3.
Penilaian Tingkat Keparahan:** Services Australia mengkarakterisasi serangan yang diperlukan sebagai sesuatu yang "memerlukan pengetahuan dan keahlian signifikan" [4], menunjukkan mereka melihat risiko praktis lebih rendah daripada kerentanan teoretis yang mungkin disiratkan. Severity Assessment:** Services Australia characterized the required attack as something that "require[s] significant knowledge and expertise" [4], suggesting they viewed the practical risk as lower than the theoretical vulnerability might suggest.
Namun, pembelaan ini lemah — kerentanan keamanan harus ditangani terlepas dari kompleksitas serangan. **4. However, this defense is weak—security vulnerabilities should be addressed regardless of attack complexity.
**4.
Pemalsuan vs. Forgeability vs.
Manipulasi:** Kerentanan melibatkan membuat aplikasi menampilkan sertifikat palsu (kerentanan sisi klien) daripada membuat sertifikat palsu yang akan lolos validasi backend. Tampering:** The vulnerability involved making the app display a false certificate (client-side vulnerability) rather than creating counterfeit certificates that would pass backend validation.
Tweet Nelson sendiri menekankan kemudahan kerentanan tampilan, tetapi bukti yang terbatas menunjukkan registry yang mendasarinya dapat dipalsukan [3]. **5. Nelson's own tweet emphasized the ease of the display vulnerability, but there's limited evidence the underlying registry could be spoofed [3].
**5.
Waktu Peluncuran:** Sertifikat digital COVID-19 diperkenalkan dengan relatif terburu-buru dalam kondisi pandemi (diluncurkan pada pertengahan 2021) [8]. Timeline of Rollout:** The COVID-19 digital certificate was introduced relatively hastily during pandemic conditions (rolled out in mid-2021) [8].
Konteks ini tidak memaafkan kekurangan keamanan, tetapi menjelaskan beberapa tekanan untuk menerapkan dengan cepat. This context doesn't excuse the security shortcomings, but explains some of the pressure to deploy quickly.
Penilaian Kredibilitas Sumber
### Sumber Asli
### Original Sources
**Richard Nelson (artikel Medium):** - Peneliti keamanan yang kredibel dengan keahlian yang dapat ditunjukkan; artikel Medium lainnya menunjukkan pengetahuan teknis yang mendalam tentang sistem keamanan pemerintah (analisis COVIDSafe, rekayasa balik lisensi pengemudi Service NSW) [1] - Akun pribadi tentang mencoba pengungkapan yang bertanggung jawab; melakukan upaya nyata untuk mengikuti prosedur yang tepat sebelum mengungkapkan secara publik [1] - Transparan tentang frustrasi dan kondisi emosionalnya; mengakui kesulitan posisinya [1] - Tampak termotivasi oleh keamanan publik, bukan politik partisan; tidak ada bukti keselarasan politik terhadap Labor [1] **ZDNet (artikel Campbell Kwan):** - Outlet berita teknologi arus utama dengan standar editorial [9] - Melaporkan proses Budget Estimates, yang merupakan catatan publik yang didokumentasikan [4] - Mengutip pernyataan pemerintah secara akurat; kutipan dapat diverifikasi [4] - Campbell Kwan adalah kontributor reguler tentang isu-isu teknologi pemerintah [9] - Namun, artikel tersebut menekankan kritik dari senator Labor dalam konteks federal Budget Estimates dan tidak secara mendalam mengeksplorasi rasional pemerintah atau konteks yang dapat mengurangi keseriusan **Richard Nelson (Medium article):**
- Credible security researcher with demonstrable expertise; his other Medium articles show deep technical knowledge of government security systems (COVIDSafe analysis, Service NSW driver license reverse engineering) [1]
- Personal account of attempting responsible disclosure; makes genuine effort to follow proper procedures before going public [1]
- Transparent about his frustration and emotional state; acknowledges the difficulty of his position [1]
- Appears motivated by public security, not partisan politics; no evidence of political alignment toward Labor [1]
**ZDNet (Campbell Kwan article):**
- Mainstream technology news outlet with editorial standards [9]
- Reports on Budget Estimates proceedings, which are documented public records [4]
- Accurately cites the government's own statements; quotes are verifiable [4]
- Campbell Kwan is a regular contributor on government technology issues [9]
- However, the article emphasizes criticism from Labor senators and doesn't deeply explore government rationale or mitigating context
### Penilaian Bias ### Bias Assessment
Tidak ada sumber yang tampak termotivasi terutama oleh bias partisan, meskipun artikel ZDNet memberikan penekanan pada kritik senator Labor dalam konteks federal Budget Estimates. Neither source appears primarily motivated by partisan bias, though the ZDNet article gives prominence to Labor senators' criticisms in a federal Budget Estimates context.
Sumber-sumber tersebut faktual dan dapat diverifikasi, meskipun menekankan kegagalan pemerintah daripada memberikan konteks yang seimbang. The sources are factual and verifiable, though they emphasize government failures rather than providing balanced context.
Ini sesuai untuk pelaporan keamanan — kerentanan itu nyata dan responsnya tidak memadai — tetapi kerangkanya secara inheren kritis daripada netral. This is appropriate for security reporting—the vulnerability was real and the response was inadequate—but the framing is inherently critical rather than neutral.
⚖️
Perbandingan Labor
**Apakah Labor memiliki masalah keamanan siber yang signifikan dengan sistem kesehatan digital?** Pencarian dilakukan: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records" Penanganan sistem My Health Record oleh Labor menunjukkan preseden yang relevan.
**Did Labor have significant cybersecurity issues with digital health systems?**
Search conducted: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records"
Labor's handling of the My Health Record system shows relevant precedent.
My Health Record diperkenalkan oleh pemerintah Labor pada tahun 2012 dan menjadi sangat kontroversial [10]. The My Health Record was introduced by the Labor government in 2012 and became highly controversial [10].
Sistem ini menghadapi kekhawatiran privasi yang signifikan, menyebabkan Labor sendiri menyerukan penangguhan peluncurannya ketika Koalisi memperluasnya [11]. The system faced significant privacy concerns, leading Labor itself to call for a suspension of the rollout when the Coalition expanded it [11].
Privacy Commissioner mengangkat kekhawatiran, dan ada reaksi publik yang substansial [10]. The Privacy Commissioner raised concerns, and there was substantial public backlash [10].
Meskipun ini mewakili kegagalan kebijakan yang lebih luas (desain yang cacat dari awal) daripada masalah pengungkapan kerentanan keamanan siber secara spesifik, ini menunjukkan bahwa pemerintah Labor juga kesulitan dengan keamanan sistem kesehatan digital dan kepercayaan publik di area yang serupa. **Insiden Keamanan Siber yang Sebanding:** Tidak ada bukti bahwa sistem kesehatan digital pemerintah Labor menghadapi kesenjangan kebijakan pengungkapan kerentanan keamanan siber yang serupa selama periode mereka berkuasa (2007-2013). While this represents a broader policy failure (flawed design from the start) rather than a cybersecurity vulnerability disclosure issue specifically, it demonstrates that Labor governments have also struggled with digital health system security and public trust in similar areas.
**Comparable Cybersecurity Incident:** There is no evidence of Labor government digital health systems facing similar cybersecurity vulnerability disclosure policy gaps during their period in government (2007-2013).
Namun, tema yang lebih luas dari tata kelola keamanan digital yang tidak memadai tampaknya menjadi masalah sistemik pemerintah Australia di seluruh partai daripada unik untuk Koalisi. However, the broader theme of inadequate digital security governance appears to be a systemic Australian government issue across parties rather than unique to the Coalition.
🌐
Perspektif Seimbang
**Posisi Pemerintah:** Services Australia mempertahankan bahwa sistem sertifikat digital COVID-19 mencakup banyak lapisan keamanan dan bahwa kerentanan yang ditemukan memerlukan "pengetahuan dan keahlian signifikan" untuk dieksploitasi [4].
**Government's Position:**
Services Australia maintained that the COVID-19 digital certificate system included multiple security layers and that the vulnerability discovered required "significant knowledge and expertise" to exploit [4].
Lembaga tersebut menekankan bahwa mereka bekerja sama dengan Australian Signals Directorate dan melakukan penilaian siber secara teratur [4]. The agency emphasized it was cooperating with the Australian Signals Directorate and conducting regular cyber assessments [4].
Perspektif pemerintah adalah bahwa meskipun kerentanan harus ditangani, itu bukan kegagalan kritis yang memerlukan perombakan total sistem. **Perspektif Ahli Keamanan:** Posisi Richard Nelson masuk akal dari sudut pandang tata kelola keamanan: bahkan jika kerentanan memerlukan keahlian untuk dieksploitasi, saluran yang tepat untuk pengungkapan yang bertanggung jawab harus ada. The government's perspective was that while the vulnerability should be addressed, it was not a critical failure requiring immediate overhaul of the entire system.
**Security Expert Perspective:**
Richard Nelson's position is well-reasoned from a security governance standpoint: even if a vulnerability requires expertise to exploit, proper channels for responsible disclosure should exist.
Ia berargumen ini adalah praktik standar industri dan bahwa tidak adanya saluran tersebut adalah yang memaksanya untuk mengungkapkan masalah secara publik [1]. He argues this is standard industry practice and that the absence of such channels is what forced him to make the issue public [1].
Ini adalah kekhawatiran yang sah tentang kematangan keamanan institusional, bukan hanya tentang eksistensi kerentanan tunggal. **Masalah Sistemik vs. This is a legitimate concern about institutional security maturity, not just about the existence of any single vulnerability.
**Systemic Issue vs.
Niat Jahat:** Bukti menunjukkan ini terutama adalah kegagalan tata kelola sistemik (kurangnya proses formal) daripada kelalaian atau niat jahat. Malicious Intent:**
The evidence suggests this was primarily a systemic governance failure (lack of formal processes) rather than negligence or malicious intent.
Services Australia menunjukkan kesadaran tentang kekhawatiran keamanan dan melakukan penilaian [4]. Services Australia demonstrated awareness of security concerns and was conducting assessments [4].
Kegagalan ada dalam tidak memiliki saluran yang mapan, dipublikasikan dengan baik, dan responsif untuk peneliti melaporkan kerentanan — masalah proses daripada masalah teknis. **Konteks Praktik Industri:** Program pengungkapan kerentanan (VDP) dan bug bounty telah menjadi praktik standar industri di seluruh perusahaan teknologi besar dan, semakin banyak, lembaga pemerintah. The failure was in not having established, well-publicized, responsive channels for researchers to report vulnerabilities—a process issue rather than a technical issue.
**Industry Practice Context:**
Vulnerability disclosure programs (VDPs) and bug bounties have become industry standard practice across major tech companies and, increasingly, government agencies.
ASD dan Cyber.gov.au telah menerbitkan panduan tentang menerapkan VDP [12]. The ASD and Cyber.gov.au have published guidance on implementing VDPs [12].
Pada tahun 2021, tidak adanya VDP formal untuk sistem keselamatan COVID yang menghadap publik secara signifikan tertinggal dari praktik terbaik saat ini, meskipun tidak unik untuk Australia atau pemerintah Koalisi pada waktu itu. **Konteks kunci:** Masalah pengungkapan kerentanan memang bermasalah dan mewakili kegagalan untuk mengikuti praktik terbaik keamanan siber yang mapan. By 2021, the absence of a formal VDP for a public-facing COVID safety system was notably behind current best practices, though it wasn't unique to Australia or the Coalition government at that time.
**Key context:** The vulnerability disclosure issue is genuinely problematic and represents a failure to follow established cybersecurity best practices.
Namun, tidak jelas ini unik untuk respons COVID Koalisi atau bahwa pemerintah Labor akan menanganinya secara berbeda — kasus My Health Record menunjukkan tata kelola sistem kesehatan digital telah menjadi tantangan di seluruh partai. However, it's not clear this was unique to the Coalition's COVID response or that Labor governments would necessarily have handled it differently—the My Health Record case shows digital health system governance has been challenging across parties.
SEBAGIAN BENAR
6.0
/ 10
Klaim faktual spesifik tentang tidak adanya program pengungkapan kerentanan Services Australia dan kesulitan dalam melaporkan kerentanan **akurat dan terverifikasi**.
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
Namun, klaim yang lebih luas memerlukan kualifikasi: 1. ✅ **BENAR:** Services Australia tidak memiliki program pengungkapan kerentanan dan secara eksplisit menyatakan tidak ada rencana untuk menerapkannya [4] 2. ✅ **BENAR:** Melaporkan kerentanan tidak perlu sulit dan tidak ada proses yang efektif [1] 3. ✅ **BENAR:** Respons lambat dan hanya dipercepat setelah pengungkapan publik [1] 4. ⚠️ **SEBAGIAN BENAR:** Klaim tentang "tidak mengikuti praktik terbaik keamanan siber" valid, tetapi pemerintah melakukan penilaian siber dan bekerja dengan ASD; kegagalan secara spesifik ada dalam proses pengungkapan kerentanan publik, bukan semua praktik keamanan siber [4] 5. ⚠️ **FRAMING MENYESATKAN:** Implikasi klaim bahwa ini adalah kelalaian unik yang buruk dari era Koalisi tidak didukung dengan baik. However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
Proyek kesehatan digital pemerintah Labor (My Health Record) menghadapi masalah tata kelola dan kepercayaan keamanan yang serupa [10, 11] 6. ⚠️ **KONTEKS HILANG:** Selama kondisi pandemi pada tahun 2021, penerapan infrastruktur kesehatan publik yang cepat kadang-kadang bersaing dengan kematangan keamanan; ini tidak memaafkan kegagalan tetapi memberikan konteks Putusan bahwa fakta inti masuk akal, kritiknya sah, tetapi kerangkanya melebih-lebihkan keunikan atau tingkat keparahan tanpa mengakui masalah serupa dalam tata kelola kesehatan digital Labor. Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
Skor Akhir
6.0
/ 10
SEBAGIAN BENAR
Klaim faktual spesifik tentang tidak adanya program pengungkapan kerentanan Services Australia dan kesulitan dalam melaporkan kerentanan **akurat dan terverifikasi**.
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
Namun, klaim yang lebih luas memerlukan kualifikasi: 1. ✅ **BENAR:** Services Australia tidak memiliki program pengungkapan kerentanan dan secara eksplisit menyatakan tidak ada rencana untuk menerapkannya [4] 2. ✅ **BENAR:** Melaporkan kerentanan tidak perlu sulit dan tidak ada proses yang efektif [1] 3. ✅ **BENAR:** Respons lambat dan hanya dipercepat setelah pengungkapan publik [1] 4. ⚠️ **SEBAGIAN BENAR:** Klaim tentang "tidak mengikuti praktik terbaik keamanan siber" valid, tetapi pemerintah melakukan penilaian siber dan bekerja dengan ASD; kegagalan secara spesifik ada dalam proses pengungkapan kerentanan publik, bukan semua praktik keamanan siber [4] 5. ⚠️ **FRAMING MENYESATKAN:** Implikasi klaim bahwa ini adalah kelalaian unik yang buruk dari era Koalisi tidak didukung dengan baik. However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
Proyek kesehatan digital pemerintah Labor (My Health Record) menghadapi masalah tata kelola dan kepercayaan keamanan yang serupa [10, 11] 6. ⚠️ **KONTEKS HILANG:** Selama kondisi pandemi pada tahun 2021, penerapan infrastruktur kesehatan publik yang cepat kadang-kadang bersaing dengan kematangan keamanan; ini tidak memaafkan kegagalan tetapi memberikan konteks Putusan bahwa fakta inti masuk akal, kritiknya sah, tetapi kerangkanya melebih-lebihkan keunikan atau tingkat keparahan tanpa mengakui masalah serupa dalam tata kelola kesehatan digital Labor. Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
📚 SUMBER DAN KUTIPAN (11)
-
1
The need for an Australian Government Vulnerability Disclosure Policy - Richard Nelson, Medium
Recently, I found a weakness in the Express Plus Medicare application’s COVID-19 digital certificate:
Medium -
2
COVID-19 vaccination certificates at risk of forgery after discovery of - ABC News
The federal government's COVID-19 vaccine certificate can be forged using a widely known technique to bypass the protections, a member of the public has found.
Abc Net -
3
Services Australia brushes off vulnerability concerns in COVID-19 digital certificates - ZDNet, Campbell Kwan
There are no vulnerability disclosure programs in place nor any future plans to implement such a thing for Australia's COVID-19 digital certificate.
ZDNET -
4
Vulnerability Disclosure Program - Department of Home Affairs
Home Affairs brings together Australia's federal law enforcement, national and transport security, criminal justice, emergency management, multicultural affairs, settlement services and immigration and border-related functions, working together to keep Australia safe.
Department of Home Affairs Website -
5
Service NSW Vulnerability Disclosure Program via Bugcrowd
Learn more about Service NSW’s Vulnerability Disclosure engagement powered by Bugcrowd, the leader in crowdsourced security solutions.
Bugcrowd -
6
Service NSW official page
Service NSW welcomes vulnerability reports that help us to provide safe and secure services to our customers.
Service NSW -
7
ZDNet Editorial Standards and contributor information
Discover ZDNET's editorial mission, how we evaluate products and our commitment to transparency about our business practices.
ZDNET -
8
Privacy concerns of the Australian My Health Record: Implications for patient autonomy and consent - Science Direct
Sciencedirect
-
9
My Health Record: privacy concern sparks calls from Labor to suspend rollout - Daily Telegraph
Dailytelegraph Com
-
10
Vulnerability Disclosure Programs explained - Cyber.gov.au
Cyber Gov
-
11
ASD Responsible Release Principles
Asd Gov
Metodologi Skala Penilaian
1-3: SALAH
Secara faktual salah atau fabrikasi jahat.
4-6: SEBAGIAN
Ada kebenaran tetapi konteks hilang atau menyimpang.
7-9: SEBAGIAN BESAR BENAR
Masalah teknis kecil atau masalah redaksi.
10: AKURAT
Terverifikasi sempurna dan adil secara kontekstual.
Metodologi: Penilaian ditentukan melalui referensi silang catatan pemerintah resmi, organisasi pemeriksa fakta independen, dan dokumen sumber primer.