Benar

Penilaian: 7.0/10

Laporkan Masalah
Coalition
C0161

Klaim

“Memilih untuk mengabaikan dan tidak memperbaiki kerentanan keamanan dalam myGovID, yang muncul karena protokol otentikasi yang dipilih bersifat khusus (bespoke) dan tidak sesuai dengan praktik standar.”
Siber Teknologi
Sumber Asli: Matthew Davis
Dianalisis: 29 Jan 2026

Sumber Asli

VERIFIKASI FAKTA

### Kerentanan Keamanan myGovID - Serangan Pengulangan Kode (Code Replay Attack)
### myGovID Security Vulnerability - Code Replay Attack
 Klaim ini mengacu pada kerentanan keamanan nyata yang diidentifikasi dalam myGovID.
The claim references a real security vulnerability identified in myGovID.
 Pada Agustus 2024, peneliti keamanan Ben Frengley (Universitas Melbourne) dan Vanessa Teague (CEO Thinking Cybersecurity, profesor adjunct ANU) menemukan kerentanan kritis dalam sistem otentikasi myGovID [1].
In August 2024, security researchers Ben Frengley (University of Melbourne) and Vanessa Teague (CEO of Thinking Cybersecurity, ANU adjunct professor) discovered a critical vulnerability in myGovID's authentication system [1].
 Kerentanan ini adalah **serangan pengulangan kode (code replay attack)** yang mengeksploitasi cacat desain fundamental.
The vulnerability is a **code replay attack** that exploits a fundamental design flaw.
 Penyerang dapat membuat situs web palsu dan menangkap alamat email pengguna.
An attacker can set up a fake website and capture a user's email address.
 Ketika penyerang memulai otentikasi di portal pemerintah yang sah menggunakan email korban, portal menampilkan PIN 4 digit.
When the attacker initiates authentication at a legitimate government portal using the victim's email, the portal displays a 4-digit PIN.
 Penyerang menyampaikan PIN ini ke korban melalui situs palsu, dan ketika korban memasukkannya ke aplikasi myGovID mereka, mereka secara tidak sadar memberikan penyerang akses penuh ke akun pemerintah yang sah.
The attacker relays this PIN to the victim through the fake site, and when the victim enters it into their myGovID app, they unknowingly grant the attacker full access to legitimate government accounts.
 Kelemahan desain kritis adalah bahwa aplikasi myGovID **tidak memberikan indikasi organisasi mana yang meminta otentikasi** [2].
A critical design weakness is that the myGovID app provides **no indication of which organization is requesting authentication** [2].
 Para peneliti melaporkan kerentanan ini ke Direktorat Sinyal Australia (Australian Signals Directorate, ASD) pada 19 Agustus 2024 [3].
The researchers reported this vulnerability to the Australian Signals Directorate (ASD) on August 19, 2024 [3].
 Sesuai praktik terbaik industri, mereka mengusulkan periode pengungkapan bertanggung jawab selama 90 hari untuk memberikan waktu kepada pemerintah mengembangkan dan menerapkan perbaikan sebelum pengungkapan publik [1].
According to industry best practice, they proposed a 90-day responsible disclosure period to allow the government time to develop and implement a fix before public disclosure [1].
 ### Respons Pemerintah: Penolakan untuk Memperbaiki
### Government's Response: Refusal to Fix
 Pada 18 September 2024, Kantor Pajak Australia (Australian Taxation Office, ATO) bertemu dengan para peneliti dan secara eksplisit menyatakan **"tidak bermaksud mengubah protokol"** [3].
On September 18, 2024, the Australian Taxation Office (ATO) met with the researchers and explicitly stated it **"did not intend to change the protocol"** [3].
 Ini berarti pemerintah menolak untuk memperbaiki kerentanan.
This means the government declined to remediate the vulnerability.
 Selain itu, ATO mengkarakterisasi kerentanan tersebut sebagai "lebih merupakan masalah kesadaran publik" daripada cacat teknis yang memerlukan perubahan protokol [3].
Additionally, the ATO characterized the vulnerability as "more of a public awareness issue" rather than a technical flaw requiring protocol changes [3].
 ATO juga mengeluarkan pernyataan yang mengklaim myGovID "lebih aman dari kredensial apa pun," menolak kekhawatiran para peneliti [4].
The ATO also issued statements claiming myGovID was "more secure than any credential," dismissing researcher concerns [4].
 Setelah pemerintah menolak memperbaiki kerentanan, para peneliti mengumumkannya ke publik pada 21 September 2024 - menerbitkan temuan mereka meskipun telah mengusulkan periode pengungkapan bertanggung jawab [2].
After the government refused to fix the vulnerability, the researchers went public on September 21, 2024 - publishing their findings despite having proposed a responsible disclosure period [2].
 Para peneliti keamanan secara eksplisit memperingatkan publik untuk tidak menggunakan myGovID hingga cacat login diperbaiki [1].
The security researchers explicitly warned the public not to use myGovID until the login flaw was fixed [1].
 ### Bukti Pendukung dari Ombudsman
### Supporting Evidence from Ombudsman
 Pada Agustus 2024, Ombudsman Australia menerbitkan laporan "Keeping myGov Secure" (Menjaga Keamanan myGov), yang mengidentifikasi berbagai kekurangan keamanan dalam sistem myGov/myGovID, termasuk standar bukti identitas yang tidak konsisten, kontrol keamanan terbatas untuk penautan akun tanpa izin, dan kasus-kasus penipu mengalihkan pembayaran pensiun dan mengajukan klaim tunjangan palsu [5].
In August 2024, the Australian Ombudsman published the "Keeping myGov Secure" report, which identified multiple security deficiencies in myGov/myGovID systems, including inconsistent proof-of-identity standards, limited security controls for unauthorized account linking, and instances of fraudsters redirecting pension payments and submitting false benefit claims [5].
 Services Australia menyetujui rekomendasi-rekomendasi ini pada akhir Juli 2024 tetapi menunda implementasi hingga awal 2025, menunjukkan tidak ada tindakan segera yang diambil untuk masalah keamanan yang mendesak [5].
Services Australia agreed to these recommendations in late July 2024 but deferred implementation to early 2025, indicating no immediate action was taken on urgent security matters [5].

Konteks yang Hilang

### 1. Protokol Otentikasi "Khusus" Akurat
### 1. The "Bespoke" Authentication Protocol is Accurate
 Klaim secara akurat mengkarakterisasi protokol otentikasi myGovID sebagai non-standar. myGovID menggunakan **Kerangka Identitas Digital Tepercaya (Trusted Digital Identity Framework, TDIF)**, yang merupakan sistem khusus dan proprietari khusus untuk Australia - bukan OpenID Connect, OAuth 2.0, atau standar internasional lain yang diakui [6].
The claim accurately characterizes myGovID's authentication protocol as non-standard. myGovID uses the **Trusted Digital Identity Framework (TDIF)**, which is a proprietary, bespoke system specific to Australia - not OpenID Connect, OAuth 2.0, or other internationally recognized standards [6].
 Para peneliti keamanan telah merekomendasikan agar kerangka TDIF dihapus dan diganti dengan protokol standar seperti OpenID Connect [2].
Security researchers have recommended that the TDIF framework be deprecated and replaced with standard protocols like OpenID Connect [2].
 ### 2. Masalah Desain Protokol vs Implementasi
### 2. Protocol Design vs. Implementation Issues
 Meskipun kerentanan ada, ada distingsi teknis yang perlu dicatat: cacat fundamental tampaknya berasal dari desain protokol (kurangnya konteks tentang siapa yang meminta otentikasi dalam aplikasi myGovID), bukan necessarily kesalahan implementasi.
While the vulnerability exists, there is a technical distinction worth noting: the fundamental flaw appears to stem from the protocol's design (the lack of context about who is requesting authentication in the myGovID app), not necessarily implementation errors.
 Namun, distingsi ini tidak mengurangi validitas klaim - desain protokol yang cacat tetap merupakan cacat yang perlu diperbaiki.
However, this distinction does not diminish the validity of the claim - a flawed protocol design is still a flaw that requires fixing.
 ### 3. Linimasa dan Konteks
### 3. Timeline and Context
 Penemuan kerentanan terjadi menjelang akhir masa jabatan pemerintah Koalisi.
The vulnerability discovery occurred late in the Coalition government's tenure.
 Koalisi dikalahkan dalam pemilihan pada Mei 2022.
The Coalition was voted out of office in May 2022.
 Kerentanan ditemukan pada Agustus 2024 oleh pemerintah Partai Buruh Albanese.
The vulnerability was discovered in August 2024 by the Albanese Labor government.
 Ini berarti: - Pemerintah Koalisi (2013-2022) tidak akan membuat keputusan September 2024 untuk menolak perbaikan - Pemerintah (Partai Buruh) saat ini mewarisi myGovID dan membuat keputusan untuk tidak mengubah protokol [3] Namun, klaim mungkin mengacu pada keputusan pemerintah Koalisi yang asli untuk mengembangkan dan menerapkan myGovID menggunakan protokol khusus, non-standar daripada standar industri yang mapan - yang merupakan keputusan yang dibuat selama masa jabatan Koalisi (2013-2022).
This means: - The Coalition government (2013-2022) would not have made the September 2024 decision to refuse remediation - The current (Labor) government inherited myGovID and made the decision not to change the protocol [3] However, the claim may be referring to the Coalition government's original decision to develop and deploy myGovID using a bespoke, non-standard protocol rather than established industry standards - which would have been a decision made during the Coalition's time in office (2013-2022).

Penilaian Kredibilitas Sumber

### Sumber Asli: Thinking Cybersecurity
### Original Source: Thinking Cybersecurity
 Sumber asli yang diberikan (Thinking Cybersecurity) adalah organisasi yang dipimpin oleh Vanessa Teague, salah satu peneliti yang menemukan kerentanan.
The original source provided (Thinking Cybersecurity) is an organization led by Vanessa Teague, one of the researchers who discovered the vulnerability.
 Ini menciptakan sumber langsung tentang kerentanan itu sendiri.
This creates a direct source on the vulnerability itself.
 Vanessa Teague adalah: - Profesor adjunct ANU dan peneliti keamanan - Suara akademis yang kredibel dalam keamanan siber - Telah menerbitkan karya peer-review tentang keamanan elektoral dan sistem digital [7] Namun, sebagai salah satu peneliti yang melaporkan temuan mereka sendiri, ada bias inheren untuk menekankan tingkat keparahan kerentanan.
Vanessa Teague is: - An ANU adjunct professor and security researcher - A credible academic voice in cybersecurity - Has published peer-reviewed work on electoral security and digital systems [7] However, as one of the researchers reporting on their own finding, there is inherent bias in favor of emphasizing the vulnerability's severity.
 ### Sumber Utama tentang Masalah Ini
### Primary Sources on This Issue
 Sumber-sumber paling dapat diandalkan adalah: - **Media teknologi** (iTnews, InnovationAus): Jurnalisme teknologi Australia arus utama yang meliput penemuan kerentanan dan respons pemerintah [1][3] - **Sumber pemerintah** (Laporan Ombudsman, pernyataan ATO): Dokumentasi resmi tentang kekhawatiran keamanan dan posisi pemerintah [4][5] - **Penelitian keamanan** (Thinking Cybersecurity, dokumentasi teknis para peneliti): Analisis keamanan akademis dan profesional [2] Klaim didukung dengan baik oleh jurnalisme teknologi arus utama dan laporan pemerintah, bukan terutama bergantung pada satu sumber partisan.
The most reliable sources are: - **Technology news outlets** (iTnews, InnovationAus): Mainstream Australian tech journalism covering the vulnerability discovery and government response [1][3] - **Government sources** (Ombudsman report, ATO statements): Official documentation of security concerns and government positions [4][5] - **Security research** (Thinking Cybersecurity, researchers' technical documentation): Academic and professional security analysis [2] The claim is well-supported by mainstream technology journalism and government reports, not primarily dependent on a single partisan source.
⚖️

Perbandingan Labor

### Apakah Partai Buruh Mengadopsi Pendekatan Otentikasi Khusus yang Serupa?
### Did Labor Adopt Similar Bespoke Authentication Approaches?
 Partai Buruh tidak berada di pemerintahan ketika myGovID dikembangkan (Koalisi memerintah 2013-2022).
Labor was not in government when myGovID was developed (Coalition governed 2013-2022).
 Pemerintah Partai Buruh mewarisi sistem myGovID ketika mereka mengambil alih kantor pada Mei 2022. **Namun**, perbandingan yang lebih relevan adalah: **Bagaimana Partai Buruh menanggapi kerentanan yang ditemukan?** Seperti yang dicatat di atas, keputusan untuk "tidak bermaksud mengubah protokol" pada September 2024 dibuat oleh **ATO pemerintah Partai Buruh**, bukan Koalisi.
The Labor government inherited the myGovID system when they took office in May 2022. **However**, the more relevant comparison is: **How did Labor respond to the discovered vulnerability?** As noted above, the decision to "not intend to change the protocol" in September 2024 was made by the **Labor government's ATO**, not the Coalition.
 Ini menunjukkan kedua pemerintah (Koalisi untuk pengembangan asli, Partai Buruh untuk respons terhadap kerentanan yang ditemukan) membuat keputusan keamanan siber yang meragukan mengenai myGovID.
This indicates both governments (Coalition for original development, Labor for response to the discovered vulnerability) made questionable cybersecurity decisions regarding myGovID.
 ### Pendekatan Partai Buruh terhadap Identitas Digital
### Labor's Approach to Digital Identity
 Partai Buruh telah mengejar pengembangan berkelanjutan dari myGovID (direbranding sebagai "myID" pada November 2024) di bawah skema identitas digital.
Labor has pursued continued development of myGovID (rebranded as "myID" in November 2024) under a digital identity scheme.
 Partai Buruh tidak meninggalkan kerangka TDIF khusus tetapi malah terus beroperasi di dalamnya [8].
Labor has not abandoned the bespoke TDIF framework but instead continued operating within it [8].
 Ini menunjukkan Partai Buruh mungkin bertanggung jawab atas tidak mengatasi kerentanan arsitektural setelah ditemukan di bawah pengawasan mereka.
This suggests Labor may bear some responsibility for not addressing the architectural vulnerability once it was discovered under their watch.
🌐

Perspektif Seimbang

### Keputusan Desain Koalisi (2013-2022)
### The Coalition's Design Decision (2013-2022)
 Ketika pemerintah Koalisi memutuskan untuk mengembangkan myGovID menggunakan protokol otentikasi proprietari, khusus (TDIF) daripada mengadopsi protokol standar internasional seperti OpenID Connect, ini mewakili keputusan arsitektural yang meragukan.
When the Coalition government decided to develop myGovID using a proprietary, bespoke authentication protocol (TDIF) rather than adopting internationally standard protocols like OpenID Connect, this represented a questionable architectural decision.
 Alasan untuk pilihan ini kemungkinan adalah: - Keinginan untuk solusi Australia yang unik yang disesuaikan dengan kebutuhan pemerintah spesifik - Potensi kekhawatiran kedaulatan nasional (tidak bergantung pada standar internasional) - Kontrol yang dirasakan atas keamanan dan operasi sistem Namun, para ahli keamanan berpendapat bahwa sistem otentikasi khusus secara inheren lebih berisiko karena mereka: - Memiliki tinjauan keamanan eksternal terbatas dibandingkan dengan standar yang banyak digunakan - Tidak mendapat manfaat dari tahun-tahun penemuan dan perbaikan kerentanan komunitas - Meningkatkan kemungkinan cacat desain seperti yang ditemukan pada 2024 [2] **Praktik keamanan standar adalah menggunakan protokol yang terbukti dan diaudit secara luas kecuali ada alasan yang kuat untuk tidak melakukannya.**
The reasons for this choice were likely: - Desire for a uniquely Australian solution tailored to specific government needs - Potential national sovereignty concerns (not relying on international standards) - Perceived control over the system's security and operations However, security experts argue that bespoke authentication systems are inherently riskier because they: - Have limited external security review compared to widely-used standards - Don't benefit from years of community vulnerability discovery and patching - Increase the chance of design flaws like the one discovered in 2024 [2] **Standard security practice is to use proven, widely-audited protocols unless there is a compelling reason not to.**
 ### Respons Pemerintah terhadap Kerentanan yang Ditemukan
### The Government's Response to the Discovered Vulnerability
 Lebih bermasalah daripada pilihan desain asli adalah respons ketika kerentanan ditemukan: **Selama pemerintah Koalisi (2013-2022):** - Koalisi akan menerapkan dan mengoperasikan myGovID tetapi kerentanan tidak ditemukan hingga 2024 (setelah mereka kehilangan kantor) **Selama pemerintah Partai Buruh (September 2024 ke depan):** - ATO secara eksplisit menolak memperbaiki kerentanan yang diketahui, menyatakan mereka "tidak bermaksud mengubah protokol" - Pemerintah menolaknya sebagai "masalah kesadaran publik" daripada cacat desain teknis - Tidak ada jadwal atau rencana perbaikan yang diumumkan - Sistem terus beroperasi dengan kerentanan yang diketahui
More problematic than the original design choice was the response when the vulnerability was discovered: **During Coalition government (2013-2022):** - The Coalition would have deployed and operated myGovID but the vulnerability wasn't discovered until 2024 (after their loss of office) **During Labor government (September 2024 onward):** - The ATO explicitly refused to fix the known vulnerability, stating they "did not intend to change the protocol" - The government dismissed it as a "public awareness issue" rather than a technical design flaw - No remediation timeline or plan was announced - The system continued to operate with the known vulnerability
 ### Perspektif Ahli dan Institusional
### Expert and Institutional Perspectives
 Laporan Ombudsman memperkuat bahwa keamanan myGov/myGovID tidak memadai, dengan pemerintah hanya menyetujui untuk mengatasi kekurangan pada 2025 [5].
The Ombudsman's report reinforces that myGov/myGovID security is inadequate, with the government only agreeing to address deficiencies in 2025 [5].
 Waktunya menunjukkan ini adalah tata kelola keamanan yang reaktif daripada proaktif.
The timing suggests this was reactive rather than proactive security governance.
 ### Praktik Pemerintah Komparatif
### Comparative Government Practice
 Mengabaikan kerentanan keamanan yang diketahui dalam sistem otentikasi bukanlah praktik standar di seluruh pemerintah yang bertanggung jawab.
Ignoring known security vulnerabilities in authentication systems is not standard practice across responsible governments.
 Pendekatan industri standar adalah: 1.
The standard industry approach is: 1.
 Mengakui kerentanan 2.
Acknowledge the vulnerability 2.
 Mengembangkan rencana perbaikan 3.
Develop a remediation plan 3.
 Menerapkan perbaikan dalam kerangka waktu yang wajar 4.
Implement the fix within a reasonable timeframe 4.
 Mengkomunikasikan resolusi secara publik Respons pemerintah Australia (menolak memperbaiki cacat desain protokol) tidak memenuhi standar-standar ini. **Konteks kunci:** Baik Koalisi maupun Partai Buruh belum menunjukkan tata kelola keamanan siber yang kuat mengenai myGovID.
Publicly communicate the resolution The Australian government's response (refusing to fix the protocol design flaw) falls short of these standards. **Key context:** Neither the Coalition nor Labor has demonstrated strong cybersecurity governance regarding myGovID.
 Koalisi membuat sistem menggunakan protokol non-standar, dan Partai Buruh (yang mewarisinya) menolak memperbaikinya ketika kerentanan ditemukan.
The Coalition created a system using non-standard protocols, and Labor (which inherited it) refused to fix it when vulnerabilities were discovered.
 Kedua keputusan tampaknya didorong oleh inersia birokratis dan ketidakmauan untuk mengakui kegagalan arsitektural sistemis.
Both decisions appear driven by bureaucratic inertia and unwillingness to acknowledge systemic architectural failures.

BENAR

7.0

/ 10

Klaim secara faktual akurat mengenai kerentanan myGovID dan penolakan pemerintah untuk memperbaikinya.
The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.
 Namun, ada **klarifikasi temporal** yang penting: Keputusan untuk menolak perbaikan dibuat oleh **pemerintah Partai Buruh pada September 2024**, bukan pemerintah Koalisi.
However, there is an important **temporal clarification**: The decision to refuse remediation was made by the **Labor government in September 2024**, not the Coalition government.
 Koalisi (2013-2022) membuat keputusan asli untuk menggunakan protokol khusus, non-standar, yang merupakan pilihan arsitektural yang memungkinkan kerentanan ini.
The Coalition (2013-2022) made the original decision to use a bespoke, non-standard protocol, which was the architectural choice that enabled this vulnerability.
 Klaim dapat diinterpretasikan dua cara: 1. **Jika mengacu pada desain protokol asli (era Koalisi 2013-2022):** BENAR - Koalisi memilih protokol khusus daripada standar yang terbukti 2. **Jika mengacu pada penolakan perbaikan kerentanan yang ditemukan pada 2024:** BENAR tetapi dibuat oleh pemerintah Partai Buruh, bukan Koalisi Pernyataan "Memilih untuk mengabaikan dan tidak memperbaiki" secara natural dibaca sebagai mengacu pada penolakan perbaikan setelah penemuan (September 2024), yang merupakan keputusan pemerintah Partai Buruh, meskipun pilihan arsitektural yang mendasarinya dibuat oleh Koalisi.
The claim could be interpreted two ways: 1. **If referring to original protocol design (Coalition era 2013-2022):** TRUE - The Coalition chose a bespoke protocol over proven standards 2. **If referring to the 2024 refusal to fix the discovered vulnerability:** TRUE but made by Labor government, not Coalition The statement "Chose to ignore and not fix" most naturally reads as referring to the refusal to remediate after discovery (September 2024), which was a Labor government decision, though the underlying architectural choice was made by the Coalition.

📚 SUMBER DAN KUTIPAN (8)

  1. 1
    itnews.com.au

    itnews.com.au

    ATO declines to change protocol.

    iTnews
  2. 2
    thinkingcybersecurity.com

    thinkingcybersecurity.com

    Thinkingcybersecurity

  3. 3
    innovationaus.com

    innovationaus.com

    Innovationaus

  4. 4
    accountantsdaily.com.au

    accountantsdaily.com.au

    From security concerns to clashes with workplace policies, the transition to myGovID has caused a few headaches within the profession, but the ATO believes worries are misplaced.

    Accountantsdaily Com
  5. 5
    PDF

    Keeping myGov Secure

    Ombudsman Gov • PDF Document
  6. 6
    architecture.digital.gov.au

    architecture.digital.gov.au

    Architecture Digital Gov

  7. 7
    cecs.anu.edu.au

    cecs.anu.edu.au

    Cecs Anu Edu

  8. 8
    ato.gov.au

    ato.gov.au

    Ato Gov

Metodologi Skala Penilaian

1-3: SALAH

Secara faktual salah atau fabrikasi jahat.

4-6: SEBAGIAN

Ada kebenaran tetapi konteks hilang atau menyimpang.

7-9: SEBAGIAN BESAR BENAR

Masalah teknis kecil atau masalah redaksi.

10: AKURAT

Terverifikasi sempurna dan adil secara kontekstual.

Metodologi: Penilaian ditentukan melalui referensi silang catatan pemerintah resmi, organisasi pemeriksa fakta independen, dan dokumen sumber primer.

Previous: C0160 Next: C0162