C0024
L'Affermazione
“Non hanno seguito le migliori pratiche di cybersecurity per i vaccini digitali COVID. Non dispongono di un modo efficace per segnalare vulnerabilità, figuriamoci avere bug bounty per scoraggiare la vendita di vulnerabilità ai criminali. Quando il governo viene infine messo al corrente delle vulnerabilità nella propria app, non risponde o le risolve in modo tempestivo.”
Fonte Originale: Matthew Davis
Analizzato: 29 Jan 2026
Fonti Originali
✅ VERIFICA DEI FATTI
### Vulnerabilità nel Sistema del Certificato Digitale COVID
### Vulnerability in COVID Digital Certificate System
I fatti fondamentali dell'affermazione sono sostanzialmente verificati. The core facts of the claim are substantially verified.
Richard Nelson, un ricercatore credibile in materia di sicurezza, ha scoperto una vulnerabilità significativa nel sistema di certificazione digitale COVID-19 di Express Plus Medicare dell'Australia nel settembre 2021 [1]. Richard Nelson, a credible security researcher, discovered a significant vulnerability in Australia's Express Plus Medicare COVID-19 digital certificate system in September 2021 [1].
Nelson ha scoperto che era banale fare in modo che l'app Medicare mostrasse un certificato vaccinale COVID-19 dall'aspetto valido attraverso quella che descrive come una vulnerabilità "man-in-the-middle" [2]. Nelson found it was trivial to make the Medicare app display a valid-looking COVID-19 vaccine certificate through what he describes as a "man-in-the-middle" vulnerability [2].
Questa scoperta è stata ampiamente riportata dai media mainstream, inclusa l'ABC [3]. This finding was widely reported by mainstream media, including the ABC [3].
### Mancanza di Programma di Divulgazione delle Vulnerabilità ### Lack of Vulnerability Disclosure Program
L'affermazione sull'assenza di un programma formale di divulgazione delle vulnerabilità è confermata dalle dichiarazioni del governo. The claim about the absence of a formal vulnerability disclosure program is confirmed by government statements.
Durante le audizioni del Budget Estimates alla fine del 2021, quando è stato interrogato dai senatori del Labor sulle vulnerabilità di sicurezza, Services Australia ha dichiarato esplicitamente: "Non ci sono attualmente programmi di divulgazione delle vulnerabilità in atto né piani futuri per implementare tali programmi per i certificati di vaccinazione digitali" [4]. During Budget Estimates hearings in late 2021, when grilled by Labor senators about the security vulnerabilities, Services Australia explicitly stated: "There are currently no vulnerability disclosure programs in place nor any future plans to implement such a program for the digital vaccination certificates" [4].
Inoltre, la Digital Transformation Agency (DTA) ha dichiarato che non aveva "piani per considerare l'istituzione di programmi bounty" [5]. Additionally, the Digital Transformation Agency (DTA) stated it had "no plans to consider establishing bounty programs" [5].
### Difficoltà nella Segnalazione delle Vulnerabilità ### Difficulty Reporting Vulnerabilities
L'esperienza personale di Nelson corrobora la seconda parte dell'affermazione. Nelson's personal experience corroborates the second part of the claim.
Quando ha scoperto la vulnerabilità, ha affrontato sfide significative nel segnalarla attraverso i canali appropriati [1]. When he discovered the vulnerability, he faced significant challenges in reporting it through proper channels [1].
Ha tentato diversi percorsi di segnalazione: - Ha provato a chiamare direttamente Services Australia ma ha rinunciato dopo essere stato messo in attesa [1] - Ha scoperto che il Department of Health aveva una Vulnerability Disclosure Policy, ma Express Plus Medicare rientrava sotto Services Australia, non Health [1] - L'ha segnalata via ReportCyber e l'Australian Signals Directorate (ASD), ma non ha ricevuto risposta fino a giorni dopo [1] - Solo dopo aver twittato pubblicamente sulla vulnerabilità ed essere stato contattato dai giornalisti, Services Australia sembra aver preso provvedimenti [1] He attempted multiple reporting pathways:
- Tried calling Services Australia directly but gave up after being placed on hold [1]
- Found the Department of Health had a Vulnerability Disclosure Policy, but Express Plus Medicare fell under Services Australia, not Health [1]
- Reported it via ReportCyber and the Australian Signals Directorate (ASD), but received no response until days later [1]
- Only after publicly tweeting about the vulnerability and being contacted by journalists did Services Australia appear to take action [1]
### Tempestività di Risposta e Risoluzione ### Response and Remediation Timeliness
Le prove supportano la critica sulla tempestività della risposta. The evidence supports criticism of response timeliness.
Nelson ha notato che Services Australia non lo ha contattato dopo che è andato pubblico via Twitter e media, probabilmente perché il problema era diventato sensibile e l'agenzia voleva evitare ulteriore copertura stampa [1]. Nelson noted that Services Australia did not reach out to him after he went public via Twitter and media, likely because the issue had become sensitive and the agency wanted to avoid additional press coverage [1].
Questo dimostra un approccio reattivo piuttosto che proattivo nella gestione delle vulnerabilità. This demonstrates a reactive rather than proactive approach to vulnerability handling.
Tuttavia, le fonti non forniscono prove esplicite di tempi di risoluzione prolungati dopo la segnalazione iniziale o la divulgazione pubblica. However, the sources do not provide explicit evidence of extended remediation timelines after the initial reporting or public disclosure.
Contesto Mancante
L'affermazione richiede un contesto aggiuntivo significativo: **1.
The claim requires significant additional context:
**1.
Esisteva un Framework di Cybersecurity Governativo:** Services Australia sosteneva di effettuare "valutazioni cyber complete diverse volte all'anno" e dichiarava di "collaborare strettamente con l'Australian Signals Directorate e l'Australian Cyber Security Centre su potenziali vulnerabilità nelle applicazioni mobili" [4]. Government Cybersecurity Framework Existed:** Services Australia claimed to undertake "full cyber assessments several times a year" and stated it "work[s] closely with the Australian Signals Directorate and Australian Cyber Security Centre on potential vulnerabilities on mobile applications" [4].
Questo indica che il governo aveva processi di cybersecurity in atto, anche se non erano sufficienti per gestire le segnalazioni dei ricercatori. **2. This indicates the government did have cybersecurity processes in place, though they were not sufficient for handling researcher reports.
**2.
Alcune Agenzie Avevano Programmi di Divulgazione delle Vulnerabilità:** Mentre Services Australia non aveva un VDP, altre agenzie governative australiane li avevano implementati. Some Agencies Had Vulnerability Disclosure Programs:** While Services Australia lacked a VDP, other Australian government agencies had implemented them.
Il Department of Home Affairs aveva un Vulnerability Disclosure Program in atto [6], e Service NSW gestiva un programma bug bounty tramite Bugcrowd [7]. The Department of Home Affairs had a Vulnerability Disclosure Program in place [6], and Service NSW operated a bug bounty program through Bugcrowd [7].
Questo suggerisce un'implementazione incoerente tra le agenzie piuttosto che un fallimento di politica a livello governativo. **3. This suggests inconsistent implementation across agencies rather than a government-wide policy failure.
**3.
Valutazione della Gravità:** Services Australia ha caratterizzato l'attacco richiesto come qualcosa che "richiede conoscenza ed esperienza significative" [4], suggerendo che vedevano il rischio pratico come inferiore rispetto a quanto potrebbe suggerire la vulnerabilità teorica. Severity Assessment:** Services Australia characterized the required attack as something that "require[s] significant knowledge and expertise" [4], suggesting they viewed the practical risk as lower than the theoretical vulnerability might suggest.
Tuttavia, questa difesa è debole—le vulnerabilità di sicurezza dovrebbero essere affrontate indipendentemente dalla complessità dell'attacco. **4. However, this defense is weak—security vulnerabilities should be addressed regardless of attack complexity.
**4.
Falsificabilità vs Manomissione:** La vulnerabilità comportava il far visualizzare all'app un certificato falso (vulnerabilità lato client) piuttosto che creare certificati contraffatti che superassero la validazione backend. Forgeability vs.
Il tweet di Nelson stesso enfatizzava la facilità della vulnerabilità di visualizzazione, ma ci sono prove limitate che il registro sottostante potesse essere falsificato [3]. **5. Tampering:** The vulnerability involved making the app display a false certificate (client-side vulnerability) rather than creating counterfeit certificates that would pass backend validation.
Cronologia del Lancio:** Il certificato digitale COVID-19 è stato introdotto relativamente in fretta durante le condizioni di pandemia (lanciato a metà 2021) [8]. Nelson's own tweet emphasized the ease of the display vulnerability, but there's limited evidence the underlying registry could be spoofed [3].
**5.
Questo contesto non scusa le carenze di sicurezza, ma spiega parte della pressione per un dispiegamento rapido. Timeline of Rollout:** The COVID-19 digital certificate was introduced relatively hastily during pandemic conditions (rolled out in mid-2021) [8].
Valutazione Credibilità Fonte
### Fonti Originali
### Original Sources
**Richard Nelson (articolo Medium):** - Ricercatore credibile in materia di sicurezza con dimostrabile esperienza; i suoi altri articoli Medium mostrano profonda conoscenza tecnica dei sistemi di sicurezza governativi (analisi COVIDSafe, reverse engineering della patente di guida di Service NSW) [1] - Resoconto personale del tentativo di divulgazione responsabile; fa uno sforzo genuino per seguire le procedure appropriate prima di andare pubblico [1] - Trasparente sulla sua frustrazione e stato emotivo; riconosce la difficoltà della sua posizione [1] - Sembra motivato dalla sicurezza pubblica, non dalla politica partigiana; nessuna prova di allineamento politico verso il Labor [1] **ZDNet (articolo di Campbell Kwan):** - Testata tecnologica mainstream con standard editoriali [9] - Riporta sui procedimenti del Budget Estimates, che sono registri pubblici documentati [4] - Cita accuratamente le dichiarazioni del governo stesso; le citazioni sono verificabili [4] - Campbell Kwan è un collaboratore regolare su questioni tecnologiche governative [9] - Tuttavia, l'articolo enfatizza le critiche dei senatori del Labor in un contesto di Budget Estimates federale e non esplora approfonditamente la razionalità governativa o il contesto mitigante **Richard Nelson (Medium article):**
- Credible security researcher with demonstrable expertise; his other Medium articles show deep technical knowledge of government security systems (COVIDSafe analysis, Service NSW driver license reverse engineering) [1]
- Personal account of attempting responsible disclosure; makes genuine effort to follow proper procedures before going public [1]
- Transparent about his frustration and emotional state; acknowledges the difficulty of his position [1]
- Appears motivated by public security, not partisan politics; no evidence of political alignment toward Labor [1]
**ZDNet (Campbell Kwan article):**
- Mainstream technology news outlet with editorial standards [9]
- Reports on Budget Estimates proceedings, which are documented public records [4]
- Accurately cites the government's own statements; quotes are verifiable [4]
- Campbell Kwan is a regular contributor on government technology issues [9]
- However, the article emphasizes criticism from Labor senators and doesn't deeply explore government rationale or mitigating context
### Valutazione del Bias ### Bias Assessment
Nessuna fonte appare principalmente motivata dal bias partigiano, anche se l'articolo ZDNet dà rilievo alle critiche dei senatori del Labor in un contesto di Budget Estimates federale. Neither source appears primarily motivated by partisan bias, though the ZDNet article gives prominence to Labor senators' criticisms in a federal Budget Estimates context.
Le fonti sono factuali e verificabili, anche se enfatizzano i fallimenti governativi piuttosto che fornire un contesto bilanciato. The sources are factual and verifiable, though they emphasize government failures rather than providing balanced context.
Questo è appropriato per il reporting sulla sicurezza—la vulnerabilità era reale e la risposta era inadeguata—ma l'inquadratura è intrinsecamente critica piuttosto che neutrale. This is appropriate for security reporting—the vulnerability was real and the response was inadequate—but the framing is inherently critical rather than neutral.
⚖️
Confronto con Labor
**Il Labor ha avuto problemi significativi di cybersecurity con i sistemi sanitari digitali?** Ricerca condotta: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records" La gestione del sistema My Health Record da parte del Labor mostra un precedente rilevante.
**Did Labor have significant cybersecurity issues with digital health systems?**
Search conducted: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records"
Labor's handling of the My Health Record system shows relevant precedent.
Il My Health Record è stato introdotto dal governo Labor nel 2012 ed è diventato altamente controverso [10]. The My Health Record was introduced by the Labor government in 2012 and became highly controversial [10].
Il sistema ha affrontato significative preoccupazioni sulla privacy, portando lo stesso Labor a chiedere la sospensione del lancio quando il Coalition lo ha esteso [11]. The system faced significant privacy concerns, leading Labor itself to call for a suspension of the rollout when the Coalition expanded it [11].
Il Privacy Commissioner ha sollevato preoccupazioni, e c'è stata una sostanziale reazione negativa del pubblico [10]. The Privacy Commissioner raised concerns, and there was substantial public backlash [10].
Mentre questo rappresenta un fallimento politico più ampio (design difettoso fin dall'inizio) piuttosto che un problema specifico di divulgazione delle vulnerabilità di cybersecurity, dimostra che anche i governi Labor hanno lottato con la sicurezza dei sistemi sanitari digitali e la fiducia del pubblico in aree simili. **Incidente Cybersecurity Comparabile:** Non ci sono prove che i sistemi sanitari digitali del governo Labor abbiano affrontato lacune simili nelle politiche di divulgazione delle vulnerabilità di cybersecurity durante il loro periodo al governo (2007-2013). While this represents a broader policy failure (flawed design from the start) rather than a cybersecurity vulnerability disclosure issue specifically, it demonstrates that Labor governments have also struggled with digital health system security and public trust in similar areas.
**Comparable Cybersecurity Incident:** There is no evidence of Labor government digital health systems facing similar cybersecurity vulnerability disclosure policy gaps during their period in government (2007-2013).
Tuttavia, il tema più ampio di governance della sicurezza digitale inadeguata appare essere un problema sistemico del governo australiano attraverso i partiti piuttosto che unico per il Coalition. However, the broader theme of inadequate digital security governance appears to be a systemic Australian government issue across parties rather than unique to the Coalition.
🌐
Prospettiva Equilibrata
**Posizione del Governo:** Services Australia ha sostenuto che il sistema di certificato digitale COVID-19 includeva più livelli di sicurezza e che la vulnerabilità scoperta richiedeva "conoscenza ed esperienza significative" per essere sfruttata [4].
**Government's Position:**
Services Australia maintained that the COVID-19 digital certificate system included multiple security layers and that the vulnerability discovered required "significant knowledge and expertise" to exploit [4].
L'agenzia ha enfatizzato di stare cooperando con l'Australian Signals Directorate e conducendo valutazioni cyber regolari [4]. The agency emphasized it was cooperating with the Australian Signals Directorate and conducting regular cyber assessments [4].
La prospettiva del governo era che, sebbene la vulnerabilità dovesse essere affrontata, non era un fallimento critico che richiedeva una revisione immediata dell'intero sistema. **Prospettiva dell'Esperto di Sicurezza:** La posizione di Richard Nelson è ben ragionata da un punto di vista di governance della sicurezza: anche se una vulnerabilità richiede esperienza per essere sfruttata, dovrebbero esistere canali adeguati per la divulgazione responsabile. The government's perspective was that while the vulnerability should be addressed, it was not a critical failure requiring immediate overhaul of the entire system.
**Security Expert Perspective:**
Richard Nelson's position is well-reasoned from a security governance standpoint: even if a vulnerability requires expertise to exploit, proper channels for responsible disclosure should exist.
Sostiene che questa è una pratica standard del settore e che l'assenza di tali canali è ciò che lo ha costretto a rendere pubblico il problema [1]. He argues this is standard industry practice and that the absence of such channels is what forced him to make the issue public [1].
Questa è una preoccupazione legittima sulla maturità della sicurezza istituzionale, non solo sull'esistenza di una singola vulnerabilità. **Problema Sistemico vs Intenti Maliziosi:** Le prove suggeriscono che questo fosse principalmente un fallimento di governance sistemica (mancanza di processi formali) piuttosto che negligenza o intenti maliziosi. This is a legitimate concern about institutional security maturity, not just about the existence of any single vulnerability.
**Systemic Issue vs.
Services Australia ha dimostrato consapevolezza delle preoccupazioni di sicurezza e stava conducendo valutazioni [4]. Malicious Intent:**
The evidence suggests this was primarily a systemic governance failure (lack of formal processes) rather than negligence or malicious intent.
Il fallimento era nel non avere canali stabiliti, ben pubblicizzati e reattivi per i ricercatori per segnalare vulnerabilità—un problema di processo piuttosto che tecnico. **Contesto delle Pratiche del Settore:** I programmi di divulgazione delle vulnerabilità (VDP) e i bug bounty sono diventati pratica standard del settore tra le principali aziende tech e, sempre più, le agenzie governative. Services Australia demonstrated awareness of security concerns and was conducting assessments [4].
L'ASD e Cyber.gov.au hanno pubblicato linee guida sull'implementazione dei VDP [12]. The failure was in not having established, well-publicized, responsive channels for researchers to report vulnerabilities—a process issue rather than a technical issue.
**Industry Practice Context:**
Vulnerability disclosure programs (VDPs) and bug bounties have become industry standard practice across major tech companies and, increasingly, government agencies.
Entro il 2021, l'assenza di un VDP formale per un sistema di sicurezza COVID pubblico era notevolmente arretrata rispetto alle migliori pratiche correnti, anche se non era unica per l'Australia o il governo Coalition in quel momento. **Contesto chiave:** Il problema di divulgazione delle vulnerabilità è genuinamente problematico e rappresenta un fallimento nel seguire le migliori pratiche stabilite di cybersecurity. The ASD and Cyber.gov.au have published guidance on implementing VDPs [12].
Tuttavia, non è chiaro che questo fosse unico per la risposta COVID del Coalition o che i governi Labor lo avrebbero gestito necessariamente diversamente—il caso My Health Record mostra che la governance dei sistemi sanitari digitali è stata impegnativa attraverso i partiti. By 2021, the absence of a formal VDP for a public-facing COVID safety system was notably behind current best practices, though it wasn't unique to Australia or the Coalition government at that time.
**Key context:** The vulnerability disclosure issue is genuinely problematic and represents a failure to follow established cybersecurity best practices.
PARZIALMENTE VERO
6.0
/ 10
Le affermazioni factuali specifiche sulla mancanza di un programma di divulgazione delle vulnerabilità di Services Australia e la difficoltà nel segnalare vulnerabilità sono **accurate e verificate**.
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
Tuttavia, l'affermazione più ampia richiede qualificazione: 1. ✅ **VERO:** Services Australia non aveva un programma di divulgazione delle vulnerabilità e ha dichiarato esplicitamente nessun piano per implementarne uno [4] 2. ✅ **VERO:** Segnalare vulnerabilità era inutilmente difficile e non esisteva un processo efficace [1] 3. ✅ **VERO:** La risposta era lenta e si è accelerata solo dopo la divulgazione pubblica [1] 4. ⚠️ **PARZIALMENTE VERO:** Le affermazioni sul "non seguire le migliori pratiche di cybersecurity" sono valide, ma il governo stava conducendo valutazioni cyber e lavorando con l'ASD; il fallimento era specificamente nei processi pubblici di divulgazione delle vulnerabilità, non in tutte le pratiche di cybersecurity [4] 5. ⚠️ **INQUADRAMENTO FUORVIANTE:** L'implicazione dell'affermazione che questo fosse una cattiva gestione unica ed eccessiva dell'epoca Coalition non è ben supportata. However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
I progetti sanitari digitali del governo Labor (My Health Record) hanno affrontato problemi simili di governance e fiducia nella sicurezza [10, 11] 6. ⚠️ **CONTESTO MANCANTE:** Durante le condizioni di pandemia nel 2021, il rapido dispiegamento dell'infrastruttura sanitaria pubblica a volte ha fatto concorrenza alla maturità della sicurezza; questo non scusa il fallimento ma fornisce contesto Il verdetto è che i fatti fondamentali sono solidi, la critica è legittima, ma l'inquadratura esagera l'unicità o la gravità senza riconoscere problemi comparabili nella governance sanitaria digitale del Labor. Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
Punteggio Finale
6.0
/ 10
PARZIALMENTE VERO
Le affermazioni factuali specifiche sulla mancanza di un programma di divulgazione delle vulnerabilità di Services Australia e la difficoltà nel segnalare vulnerabilità sono **accurate e verificate**.
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
Tuttavia, l'affermazione più ampia richiede qualificazione: 1. ✅ **VERO:** Services Australia non aveva un programma di divulgazione delle vulnerabilità e ha dichiarato esplicitamente nessun piano per implementarne uno [4] 2. ✅ **VERO:** Segnalare vulnerabilità era inutilmente difficile e non esisteva un processo efficace [1] 3. ✅ **VERO:** La risposta era lenta e si è accelerata solo dopo la divulgazione pubblica [1] 4. ⚠️ **PARZIALMENTE VERO:** Le affermazioni sul "non seguire le migliori pratiche di cybersecurity" sono valide, ma il governo stava conducendo valutazioni cyber e lavorando con l'ASD; il fallimento era specificamente nei processi pubblici di divulgazione delle vulnerabilità, non in tutte le pratiche di cybersecurity [4] 5. ⚠️ **INQUADRAMENTO FUORVIANTE:** L'implicazione dell'affermazione che questo fosse una cattiva gestione unica ed eccessiva dell'epoca Coalition non è ben supportata. However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
I progetti sanitari digitali del governo Labor (My Health Record) hanno affrontato problemi simili di governance e fiducia nella sicurezza [10, 11] 6. ⚠️ **CONTESTO MANCANTE:** Durante le condizioni di pandemia nel 2021, il rapido dispiegamento dell'infrastruttura sanitaria pubblica a volte ha fatto concorrenza alla maturità della sicurezza; questo non scusa il fallimento ma fornisce contesto Il verdetto è che i fatti fondamentali sono solidi, la critica è legittima, ma l'inquadratura esagera l'unicità o la gravità senza riconoscere problemi comparabili nella governance sanitaria digitale del Labor. Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
📚 FONTI & CITAZIONI (11)
-
1
The need for an Australian Government Vulnerability Disclosure Policy - Richard Nelson, Medium
Recently, I found a weakness in the Express Plus Medicare application’s COVID-19 digital certificate:
Medium -
2
COVID-19 vaccination certificates at risk of forgery after discovery of - ABC News
The federal government's COVID-19 vaccine certificate can be forged using a widely known technique to bypass the protections, a member of the public has found.
Abc Net -
3
Services Australia brushes off vulnerability concerns in COVID-19 digital certificates - ZDNet, Campbell Kwan
There are no vulnerability disclosure programs in place nor any future plans to implement such a thing for Australia's COVID-19 digital certificate.
ZDNET -
4
Vulnerability Disclosure Program - Department of Home Affairs
Home Affairs brings together Australia's federal law enforcement, national and transport security, criminal justice, emergency management, multicultural affairs, settlement services and immigration and border-related functions, working together to keep Australia safe.
Department of Home Affairs Website -
5
Service NSW Vulnerability Disclosure Program via Bugcrowd
Learn more about Service NSW’s Vulnerability Disclosure engagement powered by Bugcrowd, the leader in crowdsourced security solutions.
Bugcrowd -
6
Service NSW official page
Service NSW welcomes vulnerability reports that help us to provide safe and secure services to our customers.
Service NSW -
7
ZDNet Editorial Standards and contributor information
Discover ZDNET's editorial mission, how we evaluate products and our commitment to transparency about our business practices.
ZDNET -
8
Privacy concerns of the Australian My Health Record: Implications for patient autonomy and consent - Science Direct
Sciencedirect
-
9
My Health Record: privacy concern sparks calls from Labor to suspend rollout - Daily Telegraph
Dailytelegraph Com
-
10
Vulnerability Disclosure Programs explained - Cyber.gov.au
Cyber Gov
-
11
ASD Responsible Release Principles
Asd Gov
Metodologia della Scala di Valutazione
1-3: FALSO
Fattualmente errato o fabbricazione malevola.
4-6: PARZIALE
Un po' di verità ma il contesto è mancante o distorto.
7-9: PREVALENTEMENTE VERO
Tecnicismi minori o problemi di formulazione.
10: ACCURATO
Perfettamente verificato e contestualmente equo.
Metodologia: Le valutazioni sono determinate attraverso il confronto incrociato di documenti governativi ufficiali, organizzazioni indipendenti di verifica dei fatti e documenti di fonti primarie.