Vero

Valutazione: 7.0/10

Segnala Problema
Coalition
C0161

L'Affermazione

“Ha scelto di ignorare e non correggere una vulnerabilità di sicurezza in myGovID, sorta perché il protocollo di autenticazione scelto è su misura e non corrisponde alle pratiche standard.”
Cybersicurezza Tecnologia
Fonte Originale: Matthew Davis
Analizzato: 29 Jan 2026

Fonti Originali

VERIFICA DEI FATTI

### Vulnerabilità di Sicurezza myGovID - Attacco di Replay del Codice
### myGovID Security Vulnerability - Code Replay Attack
 L'affermazione fa riferimento a una reale vulnerabilità di sicurezza identificata in myGovID.
The claim references a real security vulnerability identified in myGovID.
 Nell'agosto 2024, i ricercatori di sicurezza Ben Frengley (Università di Melbourne) e Vanessa Teague (CEO di Thinking Cybersecurity, professoressa aggiunta ANU) hanno scoperto una vulnerabilità critica nel sistema di autenticazione di myGovID [1].
In August 2024, security researchers Ben Frengley (University of Melbourne) and Vanessa Teague (CEO of Thinking Cybersecurity, ANU adjunct professor) discovered a critical vulnerability in myGovID's authentication system [1].
 La vulnerabilità è un **attacco di replay del codice** che sfrutta una falla fondamentale di design.
The vulnerability is a **code replay attack** that exploits a fundamental design flaw.
 Un aggressore può configurare un sito web falso e catturare l'indirizzo email di un utente.
An attacker can set up a fake website and capture a user's email address.
 Quando l'aggressore avvia l'autenticazione su un portale governativo legittimo utilizzando l'email della vittima, il portale visualizza un PIN a 4 cifre.
When the attacker initiates authentication at a legitimate government portal using the victim's email, the portal displays a 4-digit PIN.
 L'aggressore ritrasmette questo PIN alla vittima attraverso il sito falso, e quando la vittima lo inserisce nella propria app myGovID, concede inconsapevolmente all'aggressore l'accesso completo agli account governativi legittimi.
The attacker relays this PIN to the victim through the fake site, and when the victim enters it into their myGovID app, they unknowingly grant the attacker full access to legitimate government accounts.
 Una debolezza critica del design è che l'app myGovID **non fornisce alcuna indicazione di quale organizzazione stia richiedendo l'autenticazione** [2].
A critical design weakness is that the myGovID app provides **no indication of which organization is requesting authentication** [2].
 I ricercatori hanno segnalato questa vulnerabilità all'Australian Signals Directorate (ASD) il 19 agosto 2024 [3].
The researchers reported this vulnerability to the Australian Signals Directorate (ASD) on August 19, 2024 [3].
 Secondo le migliori pratiche del settore, hanno proposto un periodo di disclosure responsabile di 90 giorni per consentire al governo il tempo di sviluppare e implementare una soluzione prima della disclosure pubblica [1].
According to industry best practice, they proposed a 90-day responsible disclosure period to allow the government time to develop and implement a fix before public disclosure [1].
 ### Risposta del Governo: Rifiuto di Correggere
### Government's Response: Refusal to Fix
 Il 18 settembre 2024, l'Australian Taxation Office (ATO) ha incontrato i ricercatori e ha esplicitamente dichiarato di **"non avere intenzione di modificare il protocollo"** [3].
On September 18, 2024, the Australian Taxation Office (ATO) met with the researchers and explicitly stated it **"did not intend to change the protocol"** [3].
 Ciò significa che il governo ha rifiutato di rimediare alla vulnerabilità.
This means the government declined to remediate the vulnerability.
 Inoltre, l'ATO ha caratterizzato la vulnerabilità come "più una questione di sensibilizzazione pubblica" piuttosto che una falla tecnica che richiedesse modifiche al protocollo [3].
Additionally, the ATO characterized the vulnerability as "more of a public awareness issue" rather than a technical flaw requiring protocol changes [3].
 L'ATO ha anche rilasciato dichiarazioni sostenendo che myGovID fosse "più sicuro di qualsiasi credenziale", minimizzando le preoccupazioni dei ricercatori [4].
The ATO also issued statements claiming myGovID was "more secure than any credential," dismissing researcher concerns [4].
 Dopo che il governo ha rifiutato di correggere la vulnerabilità, i ricercatori sono andati pubblicamente il 21 settembre 2024 - pubblicando le loro scoperte nonostante avessero proposto un periodo di disclosure responsabile [2].
After the government refused to fix the vulnerability, the researchers went public on September 21, 2024 - publishing their findings despite having proposed a responsible disclosure period [2].
 I ricercatori di sicurezza hanno esplicitamente avvertito il pubblico di non utilizzare myGovID finché la falla di login non fosse stata corretta [1].
The security researchers explicitly warned the public not to use myGovID until the login flaw was fixed [1].
 ### Evidenza di Supporto dall'Ombudsman
### Supporting Evidence from Ombudsman
 Nell'agosto 2024, l'Ombudsman australiano ha pubblicato il report "Keeping myGov Secure", che ha identificato molteplici carenze di sicurezza nei sistemi myGov/myGovID, inclusi standard di prova dell'identità incoerenti, controlli di sicurezza limitati per il collegamento non autorizzato degli account e casi di truffatori che reindirizzavano pagamenti pensionistici e presentavano false richieste di benefici [5].
In August 2024, the Australian Ombudsman published the "Keeping myGov Secure" report, which identified multiple security deficiencies in myGov/myGovID systems, including inconsistent proof-of-identity standards, limited security controls for unauthorized account linking, and instances of fraudsters redirecting pension payments and submitting false benefit claims [5].
 Services Australia ha accettato queste raccomandazioni alla fine di luglio 2024 ma ha rinviato l'implementazione all'inizio del 2025, indicando che non sono state prese azioni immediate su questioni di sicurezza urgenti [5].
Services Australia agreed to these recommendations in late July 2024 but deferred implementation to early 2025, indicating no immediate action was taken on urgent security matters [5].

Contesto Mancante

### 1. Il Protocollo di Autenticazione "Su Misura" è Accurato
### 1. The "Bespoke" Authentication Protocol is Accurate
 L'affermazione caratterizza accuratamente il protocollo di autenticazione di myGovID come non standard. myGovID utilizza il **Trusted Digital Identity Framework (TDIF)**, che è un sistema proprietario e su misura specifico dell'Australia - non OpenID Connect, OAuth 2.0 o altri standard internazionalmente riconosciuti [6].
The claim accurately characterizes myGovID's authentication protocol as non-standard. myGovID uses the **Trusted Digital Identity Framework (TDIF)**, which is a proprietary, bespoke system specific to Australia - not OpenID Connect, OAuth 2.0, or other internationally recognized standards [6].
 I ricercatori di sicurezza hanno raccomandato che il framework TDIF venga deprecato e sostituito con protocolli standard come OpenID Connect [2].
Security researchers have recommended that the TDIF framework be deprecated and replaced with standard protocols like OpenID Connect [2].
 ### 2. Problemi di Design del Protocollo vs Implementazione
### 2. Protocol Design vs. Implementation Issues
 Mentre la vulnerabilità esiste, c'è una distinzione tecnica degna di nota: la falla fondamentale sembra derivare dal design del protocollo (la mancanza di contesto su chi sta richiedendo l'autenticazione nell'app myGovID), non necessariamente da errori di implementazione.
While the vulnerability exists, there is a technical distinction worth noting: the fundamental flaw appears to stem from the protocol's design (the lack of context about who is requesting authentication in the myGovID app), not necessarily implementation errors.
 Tuttavia, questa distinzione non diminuisce la validità dell'affermazione - un design di protocollo difettoso è comunque una falla che richiede correzione.
However, this distinction does not diminish the validity of the claim - a flawed protocol design is still a flaw that requires fixing.
 ### 3. Cronologia e Contesto
### 3. Timeline and Context
 La scoperta della vulnerabilità è avvenuta verso la fine del mandato del governo della Coalizione.
The vulnerability discovery occurred late in the Coalition government's tenure.
 La Coalizione è stata votata fuori dall'ufficio nel maggio 2022.
The Coalition was voted out of office in May 2022.
 La vulnerabilità è stata scoperta nell'agosto 2024 dal governo Laburista di Albanese.
The vulnerability was discovered in August 2024 by the Albanese Labor government.
 Ciò significa che: - Il governo della Coalizione (2013-2022) non avrebbe preso la decisione del settembre 2024 di rifiutare la remediation - Il governo attuale (Laburista) ha ereditato myGovID e ha preso la decisione di non modificare il protocollo [3] Tuttavia, l'affermazione potrebbe riferirsi alla decisione originale del governo della Coalizione di sviluppare e implementare myGovID utilizzando un protocollo su misura e non standard piuttosto che standard di settore consolidati - che sarebbe stata una decisione presa durante il periodo della Coalizione al governo (2013-2022).
This means: - The Coalition government (2013-2022) would not have made the September 2024 decision to refuse remediation - The current (Labor) government inherited myGovID and made the decision not to change the protocol [3] However, the claim may be referring to the Coalition government's original decision to develop and deploy myGovID using a bespoke, non-standard protocol rather than established industry standards - which would have been a decision made during the Coalition's time in office (2013-2022).

Valutazione Credibilità Fonte

### Fonte Originale: Thinking Cybersecurity
### Original Source: Thinking Cybersecurity
 La fonte originale fornita (Thinking Cybersecurity) è un'organizzazione guidata da Vanessa Teague, una delle ricercatrici che ha scoperto la vulnerabilità.
The original source provided (Thinking Cybersecurity) is an organization led by Vanessa Teague, one of the researchers who discovered the vulnerability.
 Ciò crea una fonte diretta sulla vulnerabilità stessa.
This creates a direct source on the vulnerability itself.
 Vanessa Teague è: - Una professoressa aggiunta ANU e ricercatrice di sicurezza - Una voce accademica credibile nella cybersecurity - Ha pubblicato lavori peer-reviewed sulla sicurezza elettorale e sui sistemi digitali [7] Tuttavia, essendo una delle ricercatrici che riporta sulla propria scoperta, c'è un bias intrinseco a favore dell'enfatizzazione della gravità della vulnerabilità.
Vanessa Teague is: - An ANU adjunct professor and security researcher - A credible academic voice in cybersecurity - Has published peer-reviewed work on electoral security and digital systems [7] However, as one of the researchers reporting on their own finding, there is inherent bias in favor of emphasizing the vulnerability's severity.
 ### Fonti Primarie su Questa Questione
### Primary Sources on This Issue
 Le fonti più affidabili sono: - **Testate giornalistiche tecnologiche** (iTnews, InnovationAus): Giornalismo tecnologico australiano mainstream che copre la scoperta della vulnerabilità e la risposta del governo [1][3] - **Fonti governative** (report dell'Ombudsman, dichiarazioni ATO): Documentazione ufficiale delle preoccupazioni di sicurezza e delle posizioni del governo [4][5] - **Ricerca sulla sicurezza** (Thinking Cybersecurity, documentazione tecnica dei ricercatori): Analisi di sicurezza accademica e professionale [2] L'affermazione è ben supportata dal giornalismo tecnologico mainstream e dai report governativi, non principalmente dipendente da una singola fonte partigiana.
The most reliable sources are: - **Technology news outlets** (iTnews, InnovationAus): Mainstream Australian tech journalism covering the vulnerability discovery and government response [1][3] - **Government sources** (Ombudsman report, ATO statements): Official documentation of security concerns and government positions [4][5] - **Security research** (Thinking Cybersecurity, researchers' technical documentation): Academic and professional security analysis [2] The claim is well-supported by mainstream technology journalism and government reports, not primarily dependent on a single partisan source.
⚖️

Confronto con Labor

### Il Laburista Ha Adottato Approcci di Autenticazione Su Misura Simili?
### Did Labor Adopt Similar Bespoke Authentication Approaches?
 Il Laburista non era al governo quando myGovID è stato sviluppato (la Coalizione ha governato 2013-2022).
Labor was not in government when myGovID was developed (Coalition governed 2013-2022).
 Il governo Laburista ha ereditato il sistema myGovID quando ha preso l'ufficio nel maggio 2022. **Tuttavia**, il confronto più rilevante è: **Come ha risposto il Laburista alla vulnerabilità scoperta?** Come notato sopra, la decisione di "non avere intenzione di modificare il protocollo" nel settembre 2024 è stata presa dall'**ATO del governo Laburista**, non dalla Coalizione.
The Labor government inherited the myGovID system when they took office in May 2022. **However**, the more relevant comparison is: **How did Labor respond to the discovered vulnerability?** As noted above, the decision to "not intend to change the protocol" in September 2024 was made by the **Labor government's ATO**, not the Coalition.
 Ciò indica che entrambi i governi (la Coalizione per lo sviluppo originale, il Laburista per la risposta alla vulnerabilità scoperta) hanno preso decisioni discutibili sulla cybersecurity riguardo a myGovID.
This indicates both governments (Coalition for original development, Labor for response to the discovered vulnerability) made questionable cybersecurity decisions regarding myGovID.
 ### Approccio del Laburista all'Identità Digitale
### Labor's Approach to Digital Identity
 Il Laburista ha proseguito lo sviluppo di myGovID (rinominato "myID" nel novembre 2024) in base a uno schema di identità digitale.
Labor has pursued continued development of myGovID (rebranded as "myID" in November 2024) under a digital identity scheme.
 Il Laburista non ha abbandonato il framework TDIF su misura ma ha invece continuato a operare al suo interno [8].
Labor has not abandoned the bespoke TDIF framework but instead continued operating within it [8].
 Ciò suggerisce che il Laburista potrebbe avere qualche responsabilità per non aver affrontato la vulnerabilità architetturale una volta scoperta sotto la sua supervisione.
This suggests Labor may bear some responsibility for not addressing the architectural vulnerability once it was discovered under their watch.
🌐

Prospettiva Equilibrata

### La Decisione di Design della Coalizione (2013-2022)
### The Coalition's Design Decision (2013-2022)
 Quando il governo della Coalizione ha deciso di sviluppare myGovID utilizzando un protocollo di autenticazione proprietario e su misura (TDIF) piuttosto che adottare protocolli internazionalmente standard come OpenID Connect, questa ha rappresentato una decisione architetturale discutibile.
When the Coalition government decided to develop myGovID using a proprietary, bespoke authentication protocol (TDIF) rather than adopting internationally standard protocols like OpenID Connect, this represented a questionable architectural decision.
 Le ragioni di questa scelta erano probabilmente: - Desiderio di una soluzione unicamente australiana su misura per esigenze governative specifiche - Potenziali preoccupazioni di sovranità nazionale (non fare affidamento su standard internazionali) - Percepito controllo sulla sicurezza e sulle operazioni del sistema Tuttavia, gli esperti di sicurezza sostengono che i sistemi di autenticazione su misura sono intrinsecamente più rischiosi perché: - Hanno una revisione di sicurezza esterna limitata rispetto agli standard ampiamente utilizzati - Non beneficiano di anni di scoperta e patching delle vulnerabilità da parte della comunità - Aumentano la probabilità di falle di design come quella scoperta nel 2024 [2] **La pratica di sicurezza standard è utilizzare protocolli collaudati e ampiamente revisionati a meno che non ci sia una ragione convincente per non farlo.**
The reasons for this choice were likely: - Desire for a uniquely Australian solution tailored to specific government needs - Potential national sovereignty concerns (not relying on international standards) - Perceived control over the system's security and operations However, security experts argue that bespoke authentication systems are inherently riskier because they: - Have limited external security review compared to widely-used standards - Don't benefit from years of community vulnerability discovery and patching - Increase the chance of design flaws like the one discovered in 2024 [2] **Standard security practice is to use proven, widely-audited protocols unless there is a compelling reason not to.**
 ### La Risposta del Governo alla Vulnerabilità Scoperta
### The Government's Response to the Discovered Vulnerability
 Più problematica della scelta di design originale è stata la risposta quando la vulnerabilità è stata scoperta: **Durante il governo della Coalizione (2013-2022):** - La Coalizione avrebbe distribuito e operato myGovID ma la vulnerabilità non è stata scoperta fino al 2024 (dopo la loro perdita dell'ufficio) **Durante il governo Laburista (dal settembre 2024 in poi):** - L'ATO ha esplicitamente rifiutato di correggere la vulnerabilità nota, dichiarando di "non avere intenzione di modificare il protocollo" - Il governo l'ha liquidata come una "questione di sensibilizzazione pubblica" piuttosto che una falla di design tecnica - Non è stato annunciato alcuna cronologia o piano di remediation - Il sistema ha continuato a operare con la vulnerabilità nota
More problematic than the original design choice was the response when the vulnerability was discovered: **During Coalition government (2013-2022):** - The Coalition would have deployed and operated myGovID but the vulnerability wasn't discovered until 2024 (after their loss of office) **During Labor government (September 2024 onward):** - The ATO explicitly refused to fix the known vulnerability, stating they "did not intend to change the protocol" - The government dismissed it as a "public awareness issue" rather than a technical design flaw - No remediation timeline or plan was announced - The system continued to operate with the known vulnerability
 ### Prospettive di Esperti e Istituzionali
### Expert and Institutional Perspectives
 Il report dell'Ombudsman rafforza che la sicurezza di myGov/myGovID è inadeguata, con il governo che ha accettato di affrontare le carenze solo nel 2025 [5].
The Ombudsman's report reinforces that myGov/myGovID security is inadequate, with the government only agreeing to address deficiencies in 2025 [5].
 La tempistica suggerisce che questo sia stato reattivo piuttosto che proattivo nella governance della sicurezza.
The timing suggests this was reactive rather than proactive security governance.
 ### Pratica Governativa Comparata
### Comparative Government Practice
 Ignorare vulnerabilità di sicurezza note nei sistemi di autenticazione non è pratica standard tra i governi responsabili.
Ignoring known security vulnerabilities in authentication systems is not standard practice across responsible governments.
 L'approccio standard del settore è: 1.
The standard industry approach is: 1.
 Riconoscere la vulnerabilità 2.
Acknowledge the vulnerability 2.
 Sviluppare un piano di remediation 3.
Develop a remediation plan 3.
 Implementare la soluzione entro un lasso di tempo ragionevole 4.
Implement the fix within a reasonable timeframe 4.
 Comunicare pubblicamente la risoluzione La risposta del governo australiano (rifiuto di correggere la falla di design del protocollo) non raggiunge questi standard. **Contesto chiave:** la Coalizione il Laburista hanno dimostrato una forte governance della cybersecurity riguardo a myGovID.
Publicly communicate the resolution The Australian government's response (refusing to fix the protocol design flaw) falls short of these standards. **Key context:** Neither the Coalition nor Labor has demonstrated strong cybersecurity governance regarding myGovID.
 La Coalizione ha creato un sistema utilizzando protocolli non standard, e il Laburista (che lo ha ereditato) ha rifiutato di correggerlo quando le vulnerabilità sono state scoperte.
The Coalition created a system using non-standard protocols, and Labor (which inherited it) refused to fix it when vulnerabilities were discovered.
 Entrambe le decisioni appaiono guidate da inerzia burocratica e riluttanza a riconoscere fallimenti architetturali sistemici.
Both decisions appear driven by bureaucratic inertia and unwillingness to acknowledge systemic architectural failures.

VERO

7.0

/ 10

L'affermazione è factualmente accurata riguardo alla vulnerabilità di myGovID e il rifiuto del governo di correggerla.
The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.
 Tuttavia, c'è un'importante **chiarificazione temporale**: La decisione di rifiutare la remediation è stata presa dal **governo Laburista nel settembre 2024**, non dal governo della Coalizione.
However, there is an important **temporal clarification**: The decision to refuse remediation was made by the **Labor government in September 2024**, not the Coalition government.
 La Coalizione (2013-2022) ha preso la decisione originale di utilizzare un protocollo su misura e non standard, che è stata la scelta architetturale che ha abilitato questa vulnerabilità.
The Coalition (2013-2022) made the original decision to use a bespoke, non-standard protocol, which was the architectural choice that enabled this vulnerability.
 L'affermazione può essere interpretata in due modi: 1. **Se si riferisce al design originale del protocollo (era della Coalizione 2013-2022):** VERA - La Coalizione ha scelto un protocollo su misura rispetto agli standard collaudati 2. **Se si riferisce al rifiuto del 2024 di correggere la vulnerabilità scoperta:** VERA ma presa dal governo Laburista, non dalla Coalizione L'affermazione "Ha scelto di ignorare e non correggere" si legge più naturalmente come riferimento al rifiuto di remediation dopo la scoperta (settembre 2024), che è stata una decisione del governo Laburista, sebbene la scelta architetturale sottostante sia stata fatta dalla Coalizione.
The claim could be interpreted two ways: 1. **If referring to original protocol design (Coalition era 2013-2022):** TRUE - The Coalition chose a bespoke protocol over proven standards 2. **If referring to the 2024 refusal to fix the discovered vulnerability:** TRUE but made by Labor government, not Coalition The statement "Chose to ignore and not fix" most naturally reads as referring to the refusal to remediate after discovery (September 2024), which was a Labor government decision, though the underlying architectural choice was made by the Coalition.

📚 FONTI & CITAZIONI (8)

  1. 1
    itnews.com.au

    itnews.com.au

    ATO declines to change protocol.

    iTnews
  2. 2
    thinkingcybersecurity.com

    thinkingcybersecurity.com

    Thinkingcybersecurity

  3. 3
    innovationaus.com

    innovationaus.com

    Innovationaus

  4. 4
    accountantsdaily.com.au

    accountantsdaily.com.au

    From security concerns to clashes with workplace policies, the transition to myGovID has caused a few headaches within the profession, but the ATO believes worries are misplaced.

    Accountantsdaily Com
  5. 5
    PDF

    Keeping myGov Secure

    Ombudsman Gov • PDF Document
  6. 6
    architecture.digital.gov.au

    architecture.digital.gov.au

    Architecture Digital Gov

  7. 7
    cecs.anu.edu.au

    cecs.anu.edu.au

    Cecs Anu Edu

  8. 8
    ato.gov.au

    ato.gov.au

    Ato Gov

Metodologia della Scala di Valutazione

1-3: FALSO

Fattualmente errato o fabbricazione malevola.

4-6: PARZIALE

Un po' di verità ma il contesto è mancante o distorto.

7-9: PREVALENTEMENTE VERO

Tecnicismi minori o problemi di formulazione.

10: ACCURATO

Perfettamente verificato e contestualmente equo.

Metodologia: Le valutazioni sono determinate attraverso il confronto incrociato di documenti governativi ufficiali, organizzazioni indipendenti di verifica dei fatti e documenti di fonti primarie.

Previous: C0160 Next: C0162