C0161 - साइबर प्रविधि

निर्णय

सत्य

विश्वसनीयता रेटिङ 7.0/10

रेटिङको आधार

तथ्यगत रूपमा सही दावी, विश्वसनीय स्रोतहरू र आधिकारिक रिपोर्टहरू र मुख्यधारा पत्रकारितामा दस्तावेज गरिएको राम्रो समर्थित। तर, समय आबद्धि अनिश्चित छ। यदि दावीले अनुकूलित प्रोटोकल (जसले कमजोरी सिर्जना गर्‍यो) प्रयोग गर्ने गठबन्धनको मूल वास्तुकला निर्णयको आलोचना गर्ने इरादा राख्छ भने, यो सत्य र न्यायोचित छ। यदि यसले २०२४ मा उपचार अस्वीकार गर्ने आलोचना गर्ने इरादा राख्छ भने, सही आबद्धता लेबर सरकारमा हो, गठबन्धनमा होइन। कमजोरी वास्तविक छ, सरकारी प्रतिक्रिया अपर्याप्त थियो, र गैर-मानक प्रोटोकल छनोट खराब सुरक्षा अभ्यास थियो।

१ = पूर्ण निर्माण
५ = सत्य तर महत्वपूर्ण सन्दर्भ गुमेको वा अनुचित रूपमा प्रस्तुत
७ = न्यूनतम आबद्ध/समय मुद्दाहरूको साथ ठूलो हदसम्म सही
१० = निर्विवाद रूपमा सही र न्यायोचित रूपमा प्रस्तुत

साइबर प्रविधि

विश्लेषण मिति २०२६ जनवरी २९

पढ्ने समय ~4 मिनेट

प्रमाण संख्या 🔗 8 स्रोतहरू

उद्धृत गर्न चाहनुहुन्छ?

सार्वजनिक छलफलमा यो तथ्य जाँचको सन्दर्भ दिँदा हाम्रो अद्वितीय पहिचान नम्बर प्रयोग गर्नुहोस्। C0161

C0161

दाबी

“myGovID (माइगभ आईडी) मा सुरक्षा कमजोरीलाई वेवास्ता गर्ने र नठीक पार्ने निर्णय गरियो, जुन चयन गरिएको प्रमाणीकरण प्रोटोकल अनुकूलित र मानक अभ्याससँग मेल नखाने कारणले उत्पन्न भयो।”

साइबर प्रविधि

मूल स्रोत: Matthew Davis

विश्लेषण गरिएको: 29 Jan 2026

मूल स्रोतहरू

mdavis.xyz

Documentation of Coalition government policies and claims.

Matthew Davis

✅ तथ्य जाँच

### ### myGovID myGovID (माइगभ (māigabha आईडी) āīḍī) सुरक्षा surakṣā कमजोरी kamajorī - - कोड koḍa रिप्ले riple अट्याक aṭyāka

### myGovID Security Vulnerability - Code Replay Attack

दावीले dāvīle myGovID myGovID मा mā पहिचान pahicāna गरिएको garieko वास्तविक vāstavika सुरक्षा surakṣā कमजोरीलाई kamajorīlāī जनाउँछ। janāu~cha| अगस्त agasta २०२४ 2024 मा, mā, मेलबर्न melabarna विश्वविद्यालयका viśvavidyālayakā बेन्फ्रेन्ग्ले benphrengle (Ben (Ben Frengley) Frengley) र ra थिङ्किङ thiṅkiṅa साइबरसिक्युरिटीका sāibarasikyuriṭīkā सीईओ sīīo भनेस्सा bhanessā टिग ṭiga (Vanessa (Vanessa Teague, Teague, एएनयू eenayū सहायक sahāyaka प्राध्यापक) prādhyāpaka) ले le myGovID myGovID को ko प्रमाणीकरण pramāṇīkaraṇa प्रणालीमा praṇālīmā एक eka महत्वपूर्ण mahatvapūrṇa कमजोरी kamajorī पत्ता pattā लगाए lagāe [१]। [1]| यो yo कमजोरी kamajorī एक eka **कोड **koḍa रिप्ले riple अट्याक** aṭyāka** हो ho जसले jasale आधारभूत ādhārabhūta डिजाइनको ḍijāinako खोटको khoṭako फाइदा phāidā उठाउँछ। uṭhāu~cha| एक eka आक्रमणकारीले ākramaṇakārīle नक्कली nakkalī वेबसाइट vebasāiṭa सेटअप seṭaapa गर्न garna र ra प्रयोगकर्ताको prayogakartāko इमेल imela ठेगाना ṭhegānā क्याप्चर kyāpcara गर्न garna सक्छ। sakcha| जब jaba आक्रमणकारीले ākramaṇakārīle पीडितको pīḍitako इमेल imela प्रयोग prayoga गरी garī legitiment legitiment सरकारी sarakārī पोर्टलमा porṭalamā प्रमाणीकरण pramāṇīkaraṇa सुरु suru गर्छ, garcha, पोर्टलले porṭalale ४-अंकीय 4-aṃkīya पिन pina देखाउँछ। dekhāu~cha| आक्रमणकारीले ākramaṇakārīle यो yo पिनलाई pinalāī नक्कली nakkalī साइटमार्फत sāiṭamārphata पीडितलाई pīḍitalāī पुर्‍याउँछ, pur‍yāu~cha, र ra जब jaba पीडितले pīḍitale यो yo आफ्नो āphno myGovID myGovID एपमा epamā प्रवेश praveśa गर्छ, garcha, उनीहरूले unīharūle अनायासै anāyāsai आक्रमणकारीलाई ākramaṇakārīlāī legitiment legitiment सरकारी sarakārī खाताहरूमा khātāharūmā पूर्ण pūrṇa पहुँच pahu~ca प्रदान pradāna गर्छन्। garchan| एक eka महत्वपूर्ण mahatvapūrṇa डिजाइन ḍijāina कमजोरी kamajorī के ke हो ho भने bhane myGovID myGovID एपले epale **कुन **kuna संगठनले saṃgaṭhanale प्रमाणीकरण pramāṇīkaraṇa अनुरोध anurodha गरिरहेको gariraheko छ cha भनेर bhanera कुनै kunai संकेत saṃketa दँदैन** da~daina** [२]। [2]| अनुसन्धानकर्ताहरूले anusandhānakartāharūle यो yo कमजोरीलाई kamajorīlāī अस्ट्रेलियाली asṭreliyālī सिग्नल्स signalsa डाइरेक्टोरेट ḍāirekṭoreṭa (ASD) (ASD) लाई lāī अगस्त agasta १९, 19, २०२४ 2024 मा mā रिपोर्ट riporṭa गरे gare [३]। [3]| उद्योगको udyogako उत्तम uttama अभ्यास abhyāsa अनुसार, anusāra, उनीहरूले unīharūle सरकारलाई sarakāralāī सार्वजनिक sārvajanika खुलासा khulāsā अघि aghi समाधान samādhāna विकास vikāsa र ra कार्यान्वयनको kāryānvayanako लागि lāgi समय samaya दिन dina ९०-दिने 90-dine जिम्मेवार jimmevāra खुलासा khulāsā अवधि avadhi प्रस्ताव prastāva गरे gare [१]। [1]|

The claim references a real security vulnerability identified in myGovID.

### ### सरकारको sarakārako प्रतिक्रिया: pratikriyā: ठीक ṭhīka पार्न pārna अस्वीकार asvīkāra

In August 2024, security researchers Ben Frengley (University of Melbourne) and Vanessa Teague (CEO of Thinking Cybersecurity, ANU adjunct professor) discovered a critical vulnerability in myGovID's authentication system [1].

सेप्टेम्बर sepṭembara १८, 18, २०२४ 2024 मा, mā, अस्ट्रेलियाली asṭreliyālī कर kara कार्यालय kāryālaya (ATO) (ATO) ले le अनुसन्धानकर्ताहरूसँग anusandhānakartāharūsa~ga भेट bheṭa गरी garī स्पष्ट spaṣṭa रूपमा rūpamā भन्यो bhanyo कि ki यसले yasale **"प्रोटोकल **"proṭokala परिवर्तन parivartana गर्ने garne इच्छा icchā राख्दैन"** rākhdaina"** [३]। [3]| यसले yasale सरकारले sarakārale कमजोरीको kamajorīko उपचार upacāra गर्न garna अस्वीकार asvīkāra गरेको gareko जनाउँछ। janāu~cha| थप thapa रूपमा, rūpamā, ATO ATO ले le यो yo कमजोरीलाई kamajorīlāī प्रोटोकल proṭokala परिवर्तन parivartana आवश्यक āvaśyaka पर्ने parne प्राविधिक prāvidhika खोट khoṭa भन्दा bhandā "सार्वजनिक "sārvajanika जागरूकता jāgarūkatā मुद्दा" muddā" को ko रूपमा rūpamā वर्णन varṇana गर्‍यो gar‍yo [३]। [3]| ATO ATO ले le पनि pani myGovID myGovID कुनै kunai पनि pani प्रमाणपत्र pramāṇapatra भन्दा bhandā "धेरै "dherai सुरक्षित" surakṣita" छ cha भनी bhanī बयान bayāna जारी jārī गर्‍यो, gar‍yo, जसले jasale अनुसन्धानकर्ताहरूको anusandhānakartāharūko चिन्तालाई cintālāī खारेज khāreja गर्‍यो gar‍yo [४]। [4]| सरकारले sarakārale कमजोरी kamajorī ठीक ṭhīka पार्न pārna अस्वीकार asvīkāra गरेपछि, garepachi, अनुसन्धानकर्ताहरूले anusandhānakartāharūle सेप्टेम्बर sepṭembara २१, 21, २०२२ 2022 मा mā सार्वजनिक sārvajanika भए bhae - - जिम्मेवार jimmevāra खुलासा khulāsā अवधि avadhi प्रस्ताव prastāva गरेता garetā पनि pani आफ्ना āphnā निष्कर्षहरू niṣkarṣaharū प्रकाशित prakāśita गरे gare [२]। [2]| सुरक्षा surakṣā अनुसन्धानकर्ताहरूले anusandhānakartāharūle सार्वजनिक sārvajanika रूपमा rūpamā लगइन lagaina खोट khoṭa ठीक ṭhīka नहुँदासम्म nahu~dāsamma myGovID myGovID प्रयोग prayoga नगर्न nagarna चेतावनी cetāvanī दिए die [१]। [1]|

The vulnerability is a **code replay attack** that exploits a fundamental design flaw.

### ### ओम्बुड्सम्यानबाट ombuḍsamyānabāṭa समर्थन samarthana प्रमाण pramāṇa

An attacker can set up a fake website and capture a user's email address.

अगस्त agasta २०२४ 2024 मा, mā, अस्ट्रेलियाली asṭreliyālī ओम्बुड्सम्यानले ombuḍsamyānale "Keeping "Keeping myGov myGov Secure" Secure" रिपोर्ट riporṭa प्रकाशित prakāśita गरे, gare, जसले jasale myGov/myGovID myGov/myGovID प्रणालीमा praṇālīmā बहुविध bahuvidha सुरक्षा surakṣā कमजोरीहरू kamajorīharū पहिचान pahicāna गर्‍यो, gar‍yo, जसमा jasamā असंगत asaṃgata पहिचान-प्रमाण pahicāna-pramāṇa मापदण्डहरू, māpadaṇḍaharū, अनधिकृत anadhikṛta खाता khātā लिङ्कका liṅkakā लागि lāgi सीमित sīmita सुरक्षा surakṣā नियन्त्रणहरू, niyantraṇaharū, र ra fraudster fraudster ले le पेन्सन pensana भुक्तानी bhuktānī रिडाइरेक्ट riḍāirekṭa गर्ने garne र ra झुटो jhuṭo लाभ lābha दावी dāvī पेश peśa गर्ने garne उदाहरणहरू udāharaṇaharū समावेश samāveśa थिए thie [५]। [5]| सर्भिसेज sarbhiseja अष्ट्रेलियाले aṣṭreliyāle जुलाई julāī २०२४ 2024 मा mā यी yī सिफारिसहरूमा siphārisaharūmā सहमति sahamati जनायो janāyo तर tara कार्यान्वयन kāryānvayana सुरु suru २०२५ 2025 सम्मका sammakā लागि lāgi स्थगित sthagita गर्‍यो, gar‍yo, जसले jasale तत्काल tatkāla सुरक्षा surakṣā मामिलामा māmilāmā कुनै kunai कार्यवाही kāryavāhī भएको bhaeko जनाउँदैन janāu~daina [५]। [5]|

When the attacker initiates authentication at a legitimate government portal using the victim's email, the portal displays a 4-digit PIN.

हराइरहेको सन्दर्भ

### ### १. 1. "अनुकूलित" "anukūlita" प्रमाणीकरण pramāṇīkaraṇa प्रोटोकल proṭokala सही sahī वर्णन varṇana

### 1. The "Bespoke" Authentication Protocol is Accurate

दावीले dāvīle myGovID myGovID को ko प्रमाणीकरण pramāṇīkaraṇa प्रोटोकललाई proṭokalalāī गैर-मानकको gaira-mānakako रूपमा rūpamā सही sahī रूपमा rūpamā वर्णन varṇana गरेको gareko छ। cha| myGovID myGovID ले le **ट्रस्टेड **ṭrasṭeḍa डिजिटल ḍijiṭala आइडेन्टिटी āiḍenṭiṭī फ्रेमवर्क phremavarka (TDIF)** (TDIF)** प्रयोग prayoga गर्छ, garcha, जुन juna अस्ट्रेलियाका asṭreliyākā लागि lāgi विशिष्ट viśiṣṭa एक eka स्वामित्व, svāmitva, अनुकूलित anukūlita प्रणाली praṇālī हो ho - - ओपनआईडी opanaāīḍī कनेक्ट, kanekṭa, ओअथ oatha २.०, 2.0, वा vā अन्य anya अन्तर्राष्ट्रिय antarrāṣṭriya रूपमा rūpamā मान्यता mānyatā प्राप्त prāpta मापदण्डहरू māpadaṇḍaharū होइन hoina [६]। [6]| सुरक्षा surakṣā अनुसन्धानकर्ताहरूले anusandhānakartāharūle TDIF TDIF फ्रेमवर्कलाई phremavarkalāī खारेज khāreja गरी garī ओपनआईडी opanaāīḍī कनेक्ट kanekṭa जस्ता jastā मानक mānaka प्रोटोकलहरूले proṭokalaharūle प्रतिस्थापन pratisthāpana गर्न garna सिफारिस siphārisa गरेका garekā छन् chan [२]। [2]|

The claim accurately characterizes myGovID's authentication protocol as non-standard. myGovID uses the **Trusted Digital Identity Framework (TDIF)**, which is a proprietary, bespoke system specific to Australia - not OpenID Connect, OAuth 2.0, or other internationally recognized standards [6].

### ### २. 2. प्रोटोकल proṭokala डिजाइन ḍijāina बनाम banāma कार्यान्वयन kāryānvayana मुद्दाहरू muddāharū

Security researchers have recommended that the TDIF framework be deprecated and replaced with standard protocols like OpenID Connect [2].

कमजोरी kamajorī भएता bhaetā पनि, pani, एक eka प्राविधिक prāvidhika भेदभेद bhedabheda नोट noṭa गर्नुपर्छ: garnuparcha: आधारभूत ādhārabhūta खोट khoṭa प्रोटोकलको proṭokalako डिजाइनबाट ḍijāinabāṭa (myGovID (myGovID एपमा epamā कुन kuna सङ्गठनले saṅgaṭhanale प्रमाणीकरण pramāṇīkaraṇa अनुरोध anurodha गरिरहेको gariraheko छ cha भनेर bhanera सन्दर्भको sandarbhako अभाव) abhāva) उत्पन्न utpanna हुन्छ, huncha, कार्यान्वयन kāryānvayana त्रुटिहरूबाट truṭiharūbāṭa होइन। hoina| तर tara यो yo भेदभेदले bhedabhedale दावीको dāvīko वैधतालाई vaidhatālāī घटाउँदैन ghaṭāu~daina - - एक eka खोटपूर्ण khoṭapūrṇa प्रोटोकल proṭokala डिजाइन ḍijāina पनि pani ठीक ṭhīka पार्नुपर्ने pārnuparne एक eka खोट khoṭa हो। ho|

### 2. Protocol Design vs. Implementation Issues

### ### ३. 3. समयरेखा samayarekhā र ra सन्दर्भ sandarbha

While the vulnerability exists, there is a technical distinction worth noting: the fundamental flaw appears to stem from the protocol's design (the lack of context about who is requesting authentication in the myGovID app), not necessarily implementation errors.

कमजोरी kamajorī पत्ता pattā लगाउने lagāune काम kāma गठबन्धन gaṭhabandhana सरकारको sarakārako कार्यकालको kāryakālako अन्त्यमा antyamā भयो। bhayo| गठबन्धन gaṭhabandhana मे me २०२२ 2022 मा mā निर्वाचनमा nirvācanamā पराजित parājita भयो। bhayo| कमजोरी kamajorī अगस्त agasta २०२४ 2024 मा mā अल्बानीज albānīja लेबर lebara सरकारद्वारा sarakāradvārā पत्ता pattā लगाइयो। lagāiyo| यसको yasako अर्थ: artha: - - गठबन्धन gaṭhabandhana सरकार sarakāra (२०१३-२०२२) (2013-2022) ले le सेप्टेम्बर sepṭembara २०२२ 2022 मा mā उपचार upacāra अस्वीकार asvīkāra गर्ने garne निर्णय nirṇaya गरेको gareko थिएन thiena - - हालको hālako (लेबर) (lebara) सरकारले sarakārale myGovID myGovID सम्हाल्यो samhālyo र ra प्रोटोकल proṭokala परिवर्तन parivartana नगर्ने nagarne निर्णय nirṇaya गर्‍यो gar‍yo [३] [3] तर tara दावीले dāvīle गठबन्धन gaṭhabandhana सरकारको sarakārako मूल mūla निर्णयको nirṇayako जिकिर jikira गरिरहेको gariraheko हुन huna सक्छ sakcha कि ki अनुकूलित, anukūlita, गैर-मानक gaira-mānaka प्रोटोकल proṭokala विकास vikāsa र ra तैनात taināta गर्ने garne - - जुन juna गठबन्धनको gaṭhabandhanako कार्यकालमा kāryakālamā (२०१३-२०२२) (2013-2022) भएको bhaeko निर्णय nirṇaya हुनेछ। hunecha|

However, this distinction does not diminish the validity of the claim - a flawed protocol design is still a flaw that requires fixing.

स्रोत विश्वसनीयता मूल्याङ्कन

### ### मूल mūla स्रोत: srota: थिङ्किङ thiṅkiṅa साइबरसिक्युरिटी sāibarasikyuriṭī

### Original Source: Thinking Cybersecurity

प्रदान pradāna गरिएको garieko मूल mūla स्रोत srota (थिङ्किङ (thiṅkiṅa साइबरसिक्युरिटी) sāibarasikyuriṭī) कमजोरी kamajorī पत्ता pattā लगाउने lagāune अनुसन्धानकर्ताहरूमध्ये anusandhānakartāharūmadhye एकको ekako नेतृत्वमा netṛtvamā रहेको raheko संगठन saṃgaṭhana हो। ho| यसले yasale कमजोरी kamajorī आफैंमा āphaiṃmā प्रत्यक्ष pratyakṣa स्रोत srota सिर्जना sirjanā गर्छ। garcha| भनेस्सा bhanessā टिग ṭiga (Vanessa (Vanessa Teague) Teague) हुन्: hun: - - एएनयू eenayū सहायक sahāyaka प्राध्यापक prādhyāpaka र ra सुरक्षा surakṣā अनुसन्धानकर्ता anusandhānakartā - - साइबरसिक्युरिटीमा sāibarasikyuriṭīmā विश्वसनीय viśvasanīya शैक्षिक śaikṣika आवाज āvāja - - निर्वाचन nirvācana सुरक्षा surakṣā र ra डिजिटल ḍijiṭala प्रणालीमा praṇālīmā सहकर्मी-समीक्षित sahakarmī-samīkṣita काम kāma प्रकाशित prakāśita गरेकी garekī छिन् chin [७] [7] तर tara आफ्नो āphno आफ्नै āphnai निष्कर्षमा niṣkarṣamā रिपोर्टिङ riporṭiṅa गर्ने garne अनुसन्धानकर्ताहरूमध्ये anusandhānakartāharūmadhye एकको ekako रूपमा, rūpamā, कमजोरीको kamajorīko गम्भीरतामा gambhīratāmā जोड joḍa दिने dine आन्तरिक āntarika पक्षपात pakṣapāta छ। cha|

The original source provided (Thinking Cybersecurity) is an organization led by Vanessa Teague, one of the researchers who discovered the vulnerability.

### ### यस yasa मुद्दामा muddāmā प्राथमिक prāthamika स्रोतहरू srotaharū

This creates a direct source on the vulnerability itself.

सबैभन्दा sabaibhandā विश्वसनीय viśvasanīya स्रोतहरू srotaharū यी yī हुन्: hun: - - **प्रविधि **pravidhi समाचार samācāra आउटलेटहरू** āuṭaleṭaharū** (iTnews, (iTnews, InnovationAus): InnovationAus): कमजोरी kamajorī पत्ता pattā लगाउने lagāune र ra सरकारी sarakārī प्रतिक्रिया pratikriyā समेट्ने sameṭne मुख्यधारा mukhyadhārā अष्ट्रेलियाली aṣṭreliyālī प्रविधि pravidhi पत्रकारिता patrakāritā [१][३] [1][3] - - **सरकारी **sarakārī स्रोतहरू** srotaharū** (ओम्बुड्सम्यान (ombuḍsamyāna रिपोर्ट, riporṭa, ATO ATO बयानहरू): bayānaharū): सुरक्षा surakṣā चिन्ताहरू cintāharū र ra सरकारी sarakārī स्थितिको sthitiko आधिकारिक ādhikārika मुक्तिपत्र muktipatra [४][५] [4][5] - - **सुरक्षा **surakṣā अनुसन्धान** anusandhāna** (थिङ्किङ (thiṅkiṅa साइबरसिक्युरिटी, sāibarasikyuriṭī, अनुसन्धानकर्ताहरूको anusandhānakartāharūko प्राविधिक prāvidhika मुक्तिपत्र): muktipatra): शैक्षिक śaikṣika र ra व्यावसायिक vyāvasāyika सुरक्षा surakṣā विश्लेषण viśleṣaṇa [२] [2] दावी dāvī मुख्यधारा mukhyadhārā प्रविधि pravidhi पत्रकारिता patrakāritā र ra सरकारी sarakārī रिपोर्टहरूद्वारा riporṭaharūdvārā राम्रो rāmro समर्थित samarthita छ, cha, एकल ekala पक्षपाती pakṣapātī स्रोतमा srotamā प्राथमिक prāthamika रूपमा rūpamā निर्भर nirbhara छैन। chaina|

Vanessa Teague is: - An ANU adjunct professor and security researcher - A credible academic voice in cybersecurity - Has published peer-reviewed work on electoral security and digital systems [7] However, as one of the researchers reporting on their own finding, there is inherent bias in favor of emphasizing the vulnerability's severity.

⚖️

Labor तुलना

### ### के ke लेबरले lebarale पनि pani त्यस्तै tyastai अनुकूलित anukūlita प्रमाणीकरण pramāṇīkaraṇa दृष्टिकोण dṛṣṭikoṇa अपनायो? apanāyo?

### Did Labor Adopt Similar Bespoke Authentication Approaches?

लेबर lebara myGovID myGovID विकास vikāsa हुँदा hu~dā सरकारमा sarakāramā थिएन thiena (गठबन्धनले (gaṭhabandhanale २०१३-२०२२ 2013-2022 सम्म samma शासन śāsana गर्‍यो)। gar‍yo)| लेबर lebara सरकारले sarakārale मे me २०२२ 2022 मा mā कार्यभार kāryabhāra सम्हाल्दा samhāldā myGovID myGovID प्रणाली praṇālī सम्हाल्यो। samhālyo| **तर** **tara** अधिक adhika सान्दर्भिक sāndarbhika तुलना tulanā के ke हो ho भने: bhane: **लेबरले **lebarale पत्ता pattā लगाइएको lagāieko कमजोरीको kamajorīko प्रतिक्रियामा pratikriyāmā कसरी kasarī प्रतिक्रिया pratikriyā दियो?** diyo?** माथि māthi उल्लेखित ullekhita अनुसार, anusāra, सेप्टेम्बर sepṭembara २०२४ 2024 मा mā "प्रोटोकल "proṭokala परिवर्तन parivartana गर्ने garne इच्छा icchā नराख्ने" narākhne" निर्णय nirṇaya **लेबर **lebara सरकारको sarakārako ATO** ATO** ले le गरेको gareko थियो, thiyo, गठबन्धनले gaṭhabandhanale होइन। hoina| यसले yasale देखाउँछ dekhāu~cha कि ki दुवै duvai सरकार sarakāra (गठबन्धन (gaṭhabandhana मूल mūla विकासको vikāsako लागि, lāgi, लेबर lebara जसले jasale यो yo सम्हाल्यो) samhālyo) ले le myGovID myGovID सम्बन्धमा sambandhamā प्रश्नयोग्य praśnayogya साइबरसिक्युरिटी sāibarasikyuriṭī निर्णयहरू nirṇayaharū गरे। gare|

Labor was not in government when myGovID was developed (Coalition governed 2013-2022).

### ### लेबरको lebarako डिजिटल ḍijiṭala पहिचान pahicāna दृष्टिकोण dṛṣṭikoṇa

The Labor government inherited the myGovID system when they took office in May 2022. **However**, the more relevant comparison is: **How did Labor respond to the discovered vulnerability?** As noted above, the decision to "not intend to change the protocol" in September 2024 was made by the **Labor government's ATO**, not the Coalition.

लेबरले lebarale नोभेम्बर nobhembara २०२४ 2024 मा mā "myID" "myID" को ko रूपमा rūpamā पुन: puna: ब्रान्ड brānḍa गर्दै gardai डिजिटल ḍijiṭala पहिचान pahicāna योजना yojanā अन्तर्गत antargata myGovID myGovID को ko निरन्तर nirantara विकासलाई vikāsalāī अघि aghi बढाएको baḍhāeko छ। cha| लेबरले lebarale अनुकूलित anukūlita TDIF TDIF फ्रेमवर्कलाई phremavarkalāī खारेज khāreja गरेको gareko छैन chaina तर tara यसभित्र yasabhitra सञ्चालन sañcālana जारी jārī राखेको rākheko छ cha [८]। [8]| यसले yasale लेबरले lebarale आफ्नो āphno निगरानीमा nigarānīmā वास्तुकला vāstukalā कमजोरी kamajorī पत्ता pattā लगाइसकेपछि lagāisakepachi सम्बोधन sambodhana नगर्ने nagarne जिम्मेवारी jimmevārī केही kehī हदसम्म hadasamma बोकेको bokeko सुझाव sujhāva दिन्छ। dincha|

This indicates both governments (Coalition for original development, Labor for response to the discovered vulnerability) made questionable cybersecurity decisions regarding myGovID.

🌐

सन्तुलित दृष्टिकोण

### ### गठबन्धनको gaṭhabandhanako डिजाइन ḍijāina निर्णय nirṇaya (२०१३-२०२२) (2013-2022)

### The Coalition's Design Decision (2013-2022)

जब jaba गठबन्धन gaṭhabandhana सरकारले sarakārale ओपनआईडी opanaāīḍī कनेक्ट kanekṭa जस्ता jastā अन्तर्राष्ट्रिय antarrāṣṭriya मानक mānaka प्रोटोकलहरू proṭokalaharū अपनाउनुको apanāunuko सट्टा saṭṭā स्वामित्व, svāmitva, अनुकूलित anukūlita प्रमाणीकरण pramāṇīkaraṇa प्रोटोकल proṭokala (TDIF) (TDIF) विकास vikāsa गर्ने garne निर्णय nirṇaya गर्‍यो, gar‍yo, यसले yasale एक eka प्रश्नयोग्य praśnayogya वास्तुकला vāstukalā निर्णयको nirṇayako प्रतिनिधित्व pratinidhitva गर्‍यो। gar‍yo| यस yasa छनोटका chanoṭakā कारणहरू kāraṇaharū सम्भवतः sambhavataḥ थिए: thie: - - विशिष्ट viśiṣṭa सरकारी sarakārī आवश्यकताहरूका āvaśyakatāharūkā लागि lāgi अद्वितीय advitīya अस्ट्रेलियाली asṭreliyālī समाधानको samādhānako इच्छा icchā - - सम्भावित sambhāvita राष्ट्रिय rāṣṭriya सार्वभौमसत्ता sārvabhaumasattā चिन्ताहरू cintāharū (अन्तर्राष्ट्रिय (antarrāṣṭriya मानकमा mānakamā निर्भर nirbhara नरहने) narahane) - - प्रणालीको praṇālīko सुरक्षा surakṣā र ra सञ्चालन sañcālana माथि māthi प्रत्यक्ष pratyakṣa नियन्त्रण niyantraṇa तर tara सुरक्षा surakṣā विशेषज्ञहरूले viśeṣajñaharūle तर्क tarka गर्छन् garchan कि ki अनुकूलित anukūlita प्रमाणीकरण pramāṇīkaraṇa प्रणालीहरू praṇālīharū जोखिमयुक्त jokhimayukta छन् chan किनभने: kinabhane: - - व्यापक vyāpaka रूपमा rūpamā प्रयोग prayoga गरिएका gariekā मानकहरूको mānakaharūko तुलनामा tulanāmā बाह्य bāhya सुरक्षा surakṣā समीक्षा samīkṣā सीमित sīmita हुन्छ huncha - - वर्षौंदेखि varṣauṃdekhi सामुदायिक sāmudāyika कमजोरी kamajorī पत्ता pattā लगाउने lagāune र ra प्याचिङबाट pyāciṅabāṭa फाइदा phāidā लिँदैन li~daina - - २०२४ 2024 मा mā पत्ता pattā लगाइएको lagāieko जस्तै jastai डिजाइन ḍijāina खोटको khoṭako सम्भावना sambhāvanā बढ्छ baḍhcha [२] [2] **मानक **mānaka सुरक्षा surakṣā अभ्यास abhyāsa भनेको bhaneko अनिवार्य anivārya कारण kāraṇa नभएसम्म nabhaesamma प्रमाणित, pramāṇita, व्यापक vyāpaka रूपमा rūpamā अडिट aḍiṭa गरिएका gariekā प्रोटोकलहरू proṭokalaharū प्रयोग prayoga गर्नु garnu हो।** ho|**

When the Coalition government decided to develop myGovID using a proprietary, bespoke authentication protocol (TDIF) rather than adopting internationally standard protocols like OpenID Connect, this represented a questionable architectural decision.

### ### पत्ता pattā लगाइएको lagāieko कमजोरीको kamajorīko सरकारी sarakārī प्रतिक्रिया pratikriyā

The reasons for this choice were likely: - Desire for a uniquely Australian solution tailored to specific government needs - Potential national sovereignty concerns (not relying on international standards) - Perceived control over the system's security and operations However, security experts argue that bespoke authentication systems are inherently riskier because they: - Have limited external security review compared to widely-used standards - Don't benefit from years of community vulnerability discovery and patching - Increase the chance of design flaws like the one discovered in 2024 [2] **Standard security practice is to use proven, widely-audited protocols unless there is a compelling reason not to.**

मूल mūla डिजाइन ḍijāina छनोट chanoṭa भन्दा bhandā पनि pani समस्याजनक samasyājanaka पत्ता pattā लगाइएपछिको lagāiepachiko प्रतिक्रिया pratikriyā थियो: thiyo: **गठबन्धन **gaṭhabandhana सरकार sarakāra (२०१३-२०२२) (2013-2022) को ko समयमा:** samayamā:** - - गठबन्धनले gaṭhabandhanale myGovID myGovID तैनात taināta र ra सञ्चालन sañcālana गरेको gareko थियो thiyo तर tara कमजोरी kamajorī २०२४ 2024 सम्म samma पत्ता pattā लगिएको lagieko थिएन thiena (कार्यालय (kāryālaya गुमाएपछि) gumāepachi) **लेबर **lebara सरकार sarakāra (सेप्टेम्बर (sepṭembara २०२४ 2024 देखि) dekhi) को ko समयमा:** samayamā:** - - ATO ATO ले le स्पष्ट spaṣṭa रूपमा rūpamā ज्ञात jñāta कमजोरी kamajorī ठीक ṭhīka पार्न pārna अस्वीकार asvīkāra गर्‍यो, gar‍yo, यसलाई yasalāī "प्रोटोकल "proṭokala परिवर्तन parivartana गर्ने garne इच्छा" icchā" नराखेको narākheko बतायो batāyo - - सरकारले sarakārale यसलाई yasalāī "सार्वजनिक "sārvajanika जागरूकता jāgarūkatā मुद्दा" muddā" को ko रूपमा rūpamā खारेज khāreja गर्‍यो, gar‍yo, प्राविधिक prāvidhika डिजाइन ḍijāina खोट khoṭa होइन hoina - - कुनै kunai उपचार upacāra समयरेखा samayarekhā वा vā योजना yojanā घोषणा ghoṣaṇā गरिएको garieko थिएन thiena - - प्रणाली praṇālī ज्ञात jñāta कमजोरीसँग kamajorīsa~ga सञ्चालन sañcālana जारी jārī रह्यो rahyo

### The Government's Response to the Discovered Vulnerability

### ### विशेषज्ञ viśeṣajña र ra संस्थागत saṃsthāgata दृष्टिकोणहरू dṛṣṭikoṇaharū

More problematic than the original design choice was the response when the vulnerability was discovered: **During Coalition government (2013-2022):** - The Coalition would have deployed and operated myGovID but the vulnerability wasn't discovered until 2024 (after their loss of office) **During Labor government (September 2024 onward):** - The ATO explicitly refused to fix the known vulnerability, stating they "did not intend to change the protocol" - The government dismissed it as a "public awareness issue" rather than a technical design flaw - No remediation timeline or plan was announced - The system continued to operate with the known vulnerability

ओम्बुड्सम्यानको ombuḍsamyānako रिपोर्टले riporṭale myGov/myGovID myGov/myGovID सुरक्षा surakṣā अपर्याप्त aparyāpta छ cha भनी bhanī पोषण poṣaṇa गर्छ, garcha, सरकारले sarakārale २०२५ 2025 मा mā कमजोरीहरू kamajorīharū सम्बोधन sambodhana गर्न garna मात्र mātra सहमति sahamati जनाएको janāeko छ cha [५]। [5]| समयले samayale सङ्केत saṅketa गर्छ garcha कि ki यो yo सक्रिय sakriya होइन hoina प्रतिक्रियात्मक pratikriyātmaka सुरक्षा surakṣā शासन śāsana थियो। thiyo|

### Expert and Institutional Perspectives

### ### तुलनात्मक tulanātmaka सरकारी sarakārī अभ्यास abhyāsa

The Ombudsman's report reinforces that myGov/myGovID security is inadequate, with the government only agreeing to address deficiencies in 2025 [5].

प्रमाणीकरण pramāṇīkaraṇa प्रणालीमा praṇālīmā ज्ञात jñāta सुरक्षा surakṣā कमजोरीहरू kamajorīharū वेवास्ता vevāstā गर्नु garnu जिम्मेवार jimmevāra सरकारहरूमा sarakāraharūmā मानक mānaka अभ्यास abhyāsa होइन। hoina| उद्योगको udyogako मानक mānaka दृष्टिकोण dṛṣṭikoṇa यो yo हो: ho: १. 1.

The timing suggests this was reactive rather than proactive security governance.

कमजोरी kamajorī स्वीकार svīkāra गर्ने garne २. 2.

### Comparative Government Practice

उपचार upacāra योजना yojanā विकास vikāsa गर्ने garne ३. 3.

Ignoring known security vulnerabilities in authentication systems is not standard practice across responsible governments.

उचित ucita समयरेखाभित्र samayarekhābhitra फिक्स phiksa कार्यान्वयन kāryānvayana गर्ने garne ४. 4.

The standard industry approach is: 1.

सार्वजनिक sārvajanika रूपमा rūpamā समाधान samādhāna सञ्चार sañcāra गर्ने garne अस्ट्रेलियाली asṭreliyālī सरकारको sarakārako प्रतिक्रिया pratikriyā (प्रोटोकल (proṭokala डिजाइन ḍijāina खोट khoṭa ठीक ṭhīka पार्न pārna अस्वीकार) asvīkāra) यी yī मापदण्डहरूभन्दा māpadaṇḍaharūbhandā कम kama छ। cha| **प्रमुख **pramukha सन्दर्भ:** sandarbha:** न na त ta गठबन्धन gaṭhabandhana न na त ta लेबरले lebarale myGovID myGovID सम्बन्धमा sambandhamā बलियो baliyo साइबरसिक्युरिटी sāibarasikyuriṭī शासन śāsana प्रदर्शन pradarśana गरेको gareko छ। cha| गठबन्धनले gaṭhabandhanale गैर-मानक gaira-mānaka प्रोटोकल proṭokala प्रयोग prayoga गरेर garera एउटा euṭā प्रणाली praṇālī सिर्जना sirjanā गर्‍यो, gar‍yo, र ra लेबर lebara (जसले (jasale यो yo सम्हाल्यो) samhālyo) ले le कमजोरी kamajorī पत्ता pattā लगाइसकेपछि lagāisakepachi यसलाई yasalāī ठीक ṭhīka पार्न pārna अस्वीकार asvīkāra गर्‍यो। gar‍yo| दुवै duvai निर्णयहरू nirṇayaharū कर्मचारी karmacārī जडता jaḍatā र ra प्रणालीगत praṇālīgata वास्तुकला vāstukalā असफलताहरू asaphalatāharū स्वीकार svīkāra गर्न garna अस्वीकारबाट asvīkārabāṭa प्रेरित prerita देखिन्छन्। dekhinchan|

Acknowledge the vulnerability 2.

सत्य

7.0

/ १०

दावी dāvī myGovID myGovID कमजोरी kamajorī र ra सरकारले sarakārale यसलाई yasalāī ठीक ṭhīka पार्न pārna अस्वीकार asvīkāra गरेको gareko सम्बन्धमा sambandhamā तथ्यगत tathyagata रूपमा rūpamā सही sahī छ। cha| तर tara एक eka महत्वपूर्ण mahatvapūrṇa **समय **samaya स्पष्टीकरण** spaṣṭīkaraṇa** छ: cha: उपचार upacāra अस्वीकार asvīkāra गर्ने garne निर्णय nirṇaya सेप्टेम्बर sepṭembara २०२४ 2024 मा mā **लेबर **lebara सरकारद्वारा** sarakāradvārā** गरिएको garieko थियो, thiyo, गठबन्धन gaṭhabandhana सरकारद्वारा sarakāradvārā होइन। hoina| गठबन्धन gaṭhabandhana (२०१३-२०२२) (2013-2022) ले le अनुकूलित, anukūlita, गैर-मानक gaira-mānaka प्रोटोकल proṭokala प्रयोग prayoga गर्ने garne मूल mūla निर्णय nirṇaya गरेको gareko थियो, thiyo, जुन juna वास्तुकला vāstukalā विकल्पले vikalpale यो yo कमजोरीलाई kamajorīlāī सम्भव sambhava बनायो। banāyo| दावीलाई dāvīlāī दुई duī तरिकाले tarikāle बुझ्न bujhna सकिन्छ: sakincha: १. 1. **यदि **yadi मूल mūla प्रोटोकल proṭokala डिजाइन ḍijāina (गठबन्धन (gaṭhabandhana युग yuga २०१३-२०२२) 2013-2022) को ko सन्दर्भमा:** sandarbhamā:** सत्य satya - - गठबन्धनले gaṭhabandhanale प्रमाणित pramāṇita मानकहरू mānakaharū भन्दा bhandā अनुकूलित anukūlita प्रोटोकल proṭokala रोज्यो rojyo २. 2. **यदि **yadi २०२४ 2024 मा mā पत्ता pattā लगाइएको lagāieko कमजोरीको kamajorīko उपचार upacāra अस्वीकारको asvīkārako सन्दर्भमा:** sandarbhamā:** सत्य satya तर tara लेबर lebara सरकारद्वारा sarakāradvārā गरिएको, garieko, गठबन्धनद्वारा gaṭhabandhanadvārā होइन hoina "वेवास्ता "vevāstā गर्ने garne र ra नठीक naṭhīka पार्ने pārne रोज्यो" rojyo" भन्ने bhanne वाक्य vākya प्राकृतिक prākṛtika रूपमा rūpamā पत्ता pattā लगाइएपछि lagāiepachi उपचार upacāra अस्वीकार asvīkāra (सेप्टेम्बर (sepṭembara २०२४) 2024) लाई lāī जनाउँछ, janāu~cha, जुन juna लेबर lebara सरकारको sarakārako निर्णय nirṇaya थियो, thiyo, यद्यपि yadyapi अन्तर्निहित antarnihita वास्तुकला vāstukalā विकल्प vikalpa गठबन्धनले gaṭhabandhanale गरेको gareko थियो। thiyo|

The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.

अन्तिम स्कोर

7.0

/ १०

सत्य

The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.

📚 स्रोतहरू र उद्धरणहरू (8)

मूल्याङ्कन स्केल कार्यप्रणाली

1-3: गलत

तथ्यात्मक रूपमा गलत वा दुर्भावनापूर्ण बनावटी।

4-6: आंशिक

केही सत्य तर सन्दर्भ हराइरहेको वा विकृत छ।

7-9: प्रायः सत्य

सानो प्राविधिक विवरण वा शब्दावली मुद्दाहरू।

10: सटीक

पूर्ण रूपमा प्रमाणित र सन्दर्भमा उचित।

विधि: मूल्याङ्कनहरू आधिकारिक सरकारी अभिलेख, स्वतन्त्र तथ्य-जाँच संगठनहरू र प्राथमिक स्रोत कागजातहरूको क्रस-रेफरेन्सिङ मार्फत निर्धारित गरिन्छ।

PoliticalClaims.au

दाबी

मूल स्रोतहरू

mdavis.xyz

✅ तथ्य जाँच

हराइरहेको सन्दर्भ

स्रोत विश्वसनीयता मूल्याङ्कन

Labor तुलना

सन्तुलित दृष्टिकोण

सत्य

सत्य

📚 स्रोतहरू र उद्धरणहरू (8)

itnews.com.au

thinkingcybersecurity.com

innovationaus.com

accountantsdaily.com.au

Keeping myGov Secure

architecture.digital.gov.au

cecs.anu.edu.au

ato.gov.au

मूल्याङ्कन स्केल कार्यप्रणाली

दाबीहरू बीच नेभिगेट गर्नुहोस्