C0024 - An Ninh Mạng COVID: Thực Hành Tiết Lộ Lỗ Hổng

Kết luận

Đúng một phần

Đánh giá độ tin cậy 6.0/10

Lý do đánh giá

Biện minh: Các tuyên bố dựa trên sự thật là chính xác (đạt điểm trên 5), và sự thất bại trong chính sách tiết lộ lỗ hổng là một lời chỉ trích chính đáng về các thực hành an ninh mạng của chính phủ. Tuy nhiên, tuyên bố này mất điểm vì: (1) thiếu bối cảnh về các thất bại trong quản trị hệ thống y tế kỹ thuật số của Labor, (2) không thừa nhận rằng một số cơ quan chính phủ (Nội vụ, Dịch vụ NSW) đã có chính sách tiết lộ lỗ hổng, và (3) phóng đại mức độ nghiêm trọng mà không có bằng chứng về việc khai thác giả mạo chứng nhận thực tế. Tuyên bố là công bằng nhưng không đầy đủ; nó nêu ra các vấn đề đúng nhưng không có đủ bối cảnh về mức độ phổ biến của các vấn đề này trong các chính phủ Úc.

COVID An ninh mạng Công nghệ

Ngày phân tích 29 thg 1, 2026

Thời gian đọc ~7 phút đọc

Số lượng bằng chứng 🔗 11 nguồn

Bạn muốn trích dẫn?

Sử dụng mã định danh duy nhất của chúng tôi khi tham chiếu kiểm chứng này trong các cuộc thảo luận công khai. C0024

C0024

Tuyên bố

“Không tuân thủ các thực hành tốt nhất về an ninh mạng đối với chứng nhận vắc-xin kỹ thuật số COVID. Họ không có cách hiệu quả nào để báo cáo các lỗ hổng bảo mật, chưa kể đến các chương trình thưởng lỗi để ngăn ngừa việc bán các lỗ hổng cho tội phạm. Khi chính phủ cuối cùng được thông báo về các lỗ hổng trong ứng dụng của họ, họ không phản hồi hoặc giải quyết chúng một cách kịp thời.”

COVID An ninh mạng Công nghệ

Nguồn gốc: Matthew Davis

Đã phân tích: 29 Jan 2026

Nguồn gốc được cung cấp

mdavis.xyz

Documentation of Coalition government policies and claims.

Matthew Davis

✅ XÁC MINH THỰC TẾ

### Lỗ Hổng Trong Hệ Thống Chứng Nhận Kỹ Thuật Số COVID

### Vulnerability in COVID Digital Certificate System

Các sự kiện cốt lõi của tuyên bố được xác minh cơ bản.

The core facts of the claim are substantially verified.

Richard Nelson, một nhà nghiên cứu bảo mật đáng tin cậy, đã phát hiện một lỗ hổng đáng kể trong hệ thống chứng nhận kỹ thuật số COVID-19 Express Plus Medicare của Úc vào tháng 9 năm 2021 [1].

Richard Nelson, a credible security researcher, discovered a significant vulnerability in Australia's Express Plus Medicare COVID-19 digital certificate system in September 2021 [1].

Nelson phát hiện rằng việc làm cho ứng dụng Medicare hiển thị chứng nhận vắc-xin COVID-19 hợp lệ là rất dễ dàng thông qua những gì anh mô tả là lỗ hổng "người ở giữa" [2].

Nelson found it was trivial to make the Medicare app display a valid-looking COVID-19 vaccine certificate through what he describes as a "man-in-the-middle" vulnerability [2].

Phát hiện này đã được nhiều phương tiện truyền thông chủ đạo đưa tin rộng rãi, bao gồm ABC [3].

This finding was widely reported by mainstream media, including the ABC [3].

### Thiếu Chương Trình Tiết Lộ Lỗ Hổng

### Lack of Vulnerability Disclosure Program

Tuyên bố về sự vắng mặt của chương trình tiết lộ lỗ hổng chính thức được xác nhận bởi các tuyên bố của chính phủ.

The claim about the absence of a formal vulnerability disclosure program is confirmed by government statements.

Trong các phiên điều trần Budget Estimates vào cuối năm 2021, khi bị các thượng nghị sĩ Labor thẩm vấn về các lỗ hổng bảo mật, Services Australia đã tuyên bố rõ ràng: "Hiện không có chương trình tiết lộ lỗ hổng nào đang được thực hiện cũng như không có kế hoạch nào trong tương lai để triển khai chương trình như vậy cho các chứng nhận vắc-xin kỹ thuật số" [4].

During Budget Estimates hearings in late 2021, when grilled by Labor senators about the security vulnerabilities, Services Australia explicitly stated: "There are currently no vulnerability disclosure programs in place nor any future plans to implement such a program for the digital vaccination certificates" [4].

Ngoài ra, Cơ quan Chuyển đổi Kỹ thuật số (DTA) tuyên bố họ "không có kế hoạch xem xét thiết lập các chương trình thưởng" [5].

Additionally, the Digital Transformation Agency (DTA) stated it had "no plans to consider establishing bounty programs" [5].

### Khó Khăn Trong Việc Báo Cáo Lỗ Hổng

### Difficulty Reporting Vulnerabilities

Trải nghiệm cá nhân của Nelson xác nhận phần thứ hai của tuyên bố.

Nelson's personal experience corroborates the second part of the claim.

Khi phát hiện lỗ hổng, anh đã phải đối mặt với nhiều thách thức trong việc báo cáo thông qua các kênh thích hợp [1].

When he discovered the vulnerability, he faced significant challenges in reporting it through proper channels [1].

Anh đã thử nhiều đường dây báo cáo: - Thử gọi trực tiếp Services Australia nhưng từ bỏ sau khi bị đặt ở chế độ chờ [1] - Phát hiện Bộ Y tế có Chính sách Tiết Lộ Lỗ Hổng, nhưng Express Plus Medicare thuộc Services Australia, không phải Y tế [1] - Báo cáo qua ReportCyber và Tổ chức Tín hiệu Úc (ASD), nhưng không nhận được phản hồi cho đến vài ngày sau [1] - Chỉ sau khi tweet công khai về lỗ hổng và được các nhà báo liên hệ, Services Australia mới có vẻ hành động [1]

He attempted multiple reporting pathways: - Tried calling Services Australia directly but gave up after being placed on hold [1] - Found the Department of Health had a Vulnerability Disclosure Policy, but Express Plus Medicare fell under Services Australia, not Health [1] - Reported it via ReportCyber and the Australian Signals Directorate (ASD), but received no response until days later [1] - Only after publicly tweeting about the vulnerability and being contacted by journalists did Services Australia appear to take action [1]

### Thời Gian Phản Hồi và Khắc Phục

### Response and Remediation Timeliness

Bằng chứng hỗ trợ lời chỉ trích về tính kịp thời của phản hồi.

The evidence supports criticism of response timeliness.

Nelson lưu ý rằng Services Australia đã không liên hệ với anh sau khi anh công khai qua Twitter và truyền thông, có lẽ vì vấn đề đã trở nên nhạy cảm và cơ quan muốn tránh thêm đưa tin [1]. Điều này cho thấy cách tiếp cận phản ứng thụ động hơn là chủ động trong việc xử lý lỗ hổng.

Nelson noted that Services Australia did not reach out to him after he went public via Twitter and media, likely because the issue had become sensitive and the agency wanted to avoid additional press coverage [1].

Tuy nhiên, các nguồn không cung cấp bằng chứng rõ ràng về thời gian khắc phục kéo dài sau khi báo cáo ban đầu hoặc tiết lộ công khai.

This demonstrates a reactive rather than proactive approach to vulnerability handling.

Bối cảnh thiếu

Tuyên bố cần thêm bối cảnh quan trọng: **1.

The claim requires significant additional context: **1.

Khung An Ninh Mạng Chính Phủ Đã Tồn Tại:** Services Australia tuyên bố thực hiện "các đánh giá an ninh mạng đầy đủ nhiều lần mỗi năm" và tuyên bố "làm việc chặt chẽ với Tổ chức Tín hiệu Úc và Trung tâm An Ninh Mạng Úc về các lỗ hổng tiềm ẩn trên các ứng dụng di động" [4]. Điều này cho thấy chính phủ đã có các quy trình an ninh mạng, mặc dù chúng không đủ để xử lý các báo cáo từ nhà nghiên cứu. **2.

Government Cybersecurity Framework Existed:** Services Australia claimed to undertake "full cyber assessments several times a year" and stated it "work[s] closely with the Australian Signals Directorate and Australian Cyber Security Centre on potential vulnerabilities on mobile applications" [4].

Một Số Cơ Quan Có Chương Trình Tiết Lộ Lỗ Hổng:** Trong khi Services Australia thiếu chính sách tiết lộ lỗ hổng, các cơ quan chính phủ Úc khác đã triển khai chúng.

This indicates the government did have cybersecurity processes in place, though they were not sufficient for handling researcher reports. **2.

Bộ Nội vụ đã có Chương Trình Tiết Lộ Lỗ Hổng [6], và Service NSW vận hành chương trình thưởng lỗi thông qua Bugcrowd [7]. Điều này cho thấy việc triển khai không nhất quán giữa các cơ quan thay vì thất bại chính sách trên toàn chính phủ. **3. Đánh Giá Mức Độ Nghiêm Trọng:** Services Australia mô tả cuộc tấn công cần thiết là điều "đòi hỏi kiến thức và chuyên môn đáng kể" [4], cho thấy họ xem rủi ro thực tế thấp hơn những gì lỗ hổng lý thuyết có thể gợi ý.

Some Agencies Had Vulnerability Disclosure Programs:** While Services Australia lacked a VDP, other Australian government agencies had implemented them.

Tuy nhiên, biện hộ này yếu - các lỗ hổng bảo mật nên được giải quyết bất kể độ phức tạp của cuộc tấn công. **4.

The Department of Home Affairs had a Vulnerability Disclosure Program in place [6], and Service NSW operated a bug bounty program through Bugcrowd [7].

Khả Năng Giả Mạo vs Giả Mạo:** Lỗ hổng liên quan đến việc làm cho ứng dụng hiển thị chứng nhận sai (lỗ hổng phía máy khách) thay vì tạo chứng nhận giả mạo sẽ vượt qua xác thựhận đã nhấn mạnh sự dễ dàng của lỗ hổng hiển thị, nhưng có ít bằng chứng cho thấy cơ sở dữ liệu cơ bản có thể bị giả mạo [3]. **5.

This suggests inconsistent implementation across agencies rather than a government-wide policy failure. **3.

Lịch Trình Triển Khai:** Chứng nhận kỹ thuật số COVID-19 được giới thiệu tương đối vội vàng trong điều kiện đại dịch (triển khai vào giữa năm 2021) [8].

Severity Assessment:** Services Australia characterized the required attack as something that "require[s] significant knowledge and expertise" [4], suggesting they viewed the practical risk as lower than the theoretical vulnerability might suggest.

Bối cảnh này không biện minh cho các thiếu sót bảo mật, nhưng giải thích một phần áp lực triển khai nhanh chóng.

However, this defense is weak—security vulnerabilities should be addressed regardless of attack complexity. **4.

Đánh giá độ tin cậy nguồn

### Các Nguồn Gốc

### Original Sources

**Richard Nelson (bài viết Medium):** - Nhà nghiên cứu bảo mật đáng tin cậy với chuyên môn có thể chứng minh; các bài viết Medium khác của anh cho thấy kiến thức kỹ thuật sâu về hệ thống bảo mật chính phủ (phân tích COVIDSafe, kỹ thuật đảo ngược giấy phép lái xe Service NSW) [1] - Tường thuật cá nhân về việc cố gắng tiết lộ có trách nhiệm; nỗ lực thực sự tuân theo các quy trình thích hợp trước khi công khai [1] - Minh bạch về sự thất vọng và trạng thái cảm xúc của mình; thừa nhận sự khó khăn trong vị trí của mình [1] - Có vẻ được thúc đẩy bởi an ninh công cộng, không phải chính trị đảng phái; không có bằng chứng về liên kết chính trị với Labor [1] **ZDNet (bài viết Campbell Kwan):** - Cổng thông tin tin tức công nghệ chủ đạo với các tiêu chuẩn biên tập [9] - Đưa tin về các phiên điều trần Budget Estimates, là hồ sơ công khai được ghi chép [4] - Trích dẫn chính xác các tuyên bố của chính phủ; các trích dẫn có thể xác minh [4] - Campbell Kwan là cộng tác viên thường xuyên về các vấn đề công nghệ chính phủ [9] - Tuy nhiên, bài viết nhấn mạnh chỉ trích từ các thượng nghị sĩ Labor trong bối cảnh điều trần Budget Estimates liên bang và không khám phá sâu lý do chính phủ hoặc bối cảnh giảm nhẹ

**Richard Nelson (Medium article):** - Credible security researcher with demonstrable expertise; his other Medium articles show deep technical knowledge of government security systems (COVIDSafe analysis, Service NSW driver license reverse engineering) [1] - Personal account of attempting responsible disclosure; makes genuine effort to follow proper procedures before going public [1] - Transparent about his frustration and emotional state; acknowledges the difficulty of his position [1] - Appears motivated by public security, not partisan politics; no evidence of political alignment toward Labor [1] **ZDNet (Campbell Kwan article):** - Mainstream technology news outlet with editorial standards [9] - Reports on Budget Estimates proceedings, which are documented public records [4] - Accurately cites the government's own statements; quotes are verifiable [4] - Campbell Kwan is a regular contributor on government technology issues [9] - However, the article emphasizes criticism from Labor senators and doesn't deeply explore government rationale or mitigating context

### Đánh Giá Thiên Kiến

### Bias Assessment

Không nguồn nào có vẻ chủ yếu bị thúc đẩy bởi thiên kiến đảng phái, mặc dù bài viết ZDNet nêu bật các lời chỉ trích của thượng nghị sĩ Labor trong bối cảnh điều trần Budget Estimates liên bang.

Neither source appears primarily motivated by partisan bias, though the ZDNet article gives prominence to Labor senators' criticisms in a federal Budget Estimates context.

Các nguồn là thực tế và có thể xác minh, mặc dù chúng nhấn mạnh các thất bại của chính phủ hơn là cung cấp bối cảnh cân bằng. Điều này là phù hợp cho báo cáo bảo mật - lỗ hổng là có thật và phản ứng là không đầy đủ - nhưng cách trình bày vốn đã mang tính chỉ trích hơn là trung lập.

The sources are factual and verifiable, though they emphasize government failures rather than providing balanced context.

⚖️

So sánh với Labor

**Liệu Labor có gặp các vấn đề an ninh mạng đáng kể với các hệ thống y tế kỹ thuật số không?** Tìm kiếm: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records" Cách xử lý hệ thống My Health Record của Labor cho thấy tiền lệ liên quan.

**Did Labor have significant cybersecurity issues with digital health systems?** Search conducted: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records" Labor's handling of the My Health Record system shows relevant precedent.

My Health Record được giới thiệu bởi chính phủ Labor năm 2012 và trở nên gây tranh cãi cao [10].

The My Health Record was introduced by the Labor government in 2012 and became highly controversial [10].

Hệ thống phải đối mặt với các lo ngại quyền riêng tư đáng kể, khiến chính Labor kêu gọi tạm dừng triển khai khi Coalition mở rộng nó [11]. Ủy viên Quyền Riêng tư đã nêu lên lo ngại, và có sự phản đối công khai đáng kể [10].

The system faced significant privacy concerns, leading Labor itself to call for a suspension of the rollout when the Coalition expanded it [11].

Mặc dù điều này đại diện cho một thất bại chính sách rộng hơn (thiết kế có lỗi từ đầu) hơn là vấn đề tiết lộ lỗ hổng bảo mật cụ thể, nó cho thấy các chính phủ Labor cũng đã phải vật lộn với an ninh hệ thống y tế kỹ thuật số và niềm tin công chúng trong các lĩnh vực tương tự. **Sự Cố An Ninh Mạng Tương Đương:** Không có bằng chứng về các hệ thống y tế kỹ thuật số chính phủ Labor phải đối mặt với các khoảng trống chính sách tiết lộ lỗ hổng tương tự trong thời kỳ cầm quyền của họ (2007-2013).

The Privacy Commissioner raised concerns, and there was substantial public backlash [10].

Tuy nhiên, chủ đề rộng hơn về quản trị bảo mật kỹ thuật số không đầy đủ dường như là một vấn đề hệ thống của chính phủ Úc xuyên suốt các đảng phái hơn là độc đáo cho Coalition.

While this represents a broader policy failure (flawed design from the start) rather than a cybersecurity vulnerability disclosure issue specifically, it demonstrates that Labor governments have also struggled with digital health system security and public trust in similar areas. **Comparable Cybersecurity Incident:** There is no evidence of Labor government digital health systems facing similar cybersecurity vulnerability disclosure policy gaps during their period in government (2007-2013).

🌐

Quan điểm cân bằng

**Quan điểm của Chính Phủ:** Services Australia khẳng định rằng hệ thống chứng nhận kỹ thuật số COVID-19 bao gồm nhiều lớp bảo mật và lỗ hổng được phát hiện đòi hỏi "kiến thức và chuyên môn đáng kể" để khai thác [4].

**Government's Position:** Services Australia maintained that the COVID-19 digital certificate system included multiple security layers and that the vulnerability discovered required "significant knowledge and expertise" to exploit [4].

Cơ quan nhấn mạnh họ đang hợp tác với Tổ chức Tín hiệu Úc và tiến hành các đánh giá an ninh mạng định kỳ [4].

The agency emphasized it was cooperating with the Australian Signals Directorate and conducting regular cyber assessments [4].

Quan điểm của chính phủ là trong khi lỗ hổng nên được giải quyết, nó không phải là một thất bại nghiêm trọng đòi hỏi cải tổ toàn bộ hệ thống ngay lập tức. **Quan Điểm Chuyên Gia Bảo Mật:** Quan điểm của Richard Nelson là hợp lý từ góc độ quản trị bảo mật: ngay cả khi một lỗ hổng đòi hỏi chuyên môn để khai thác, các kênh thích hợp để tiết lộ có trách nhiệm nên tồn tại.

The government's perspective was that while the vulnerability should be addressed, it was not a critical failure requiring immediate overhaul of the entire system. **Security Expert Perspective:** Richard Nelson's position is well-reasoned from a security governance standpoint: even if a vulnerability requires expertise to exploit, proper channels for responsible disclosure should exist.

Anh lập luận đây là thực hành tiêu chuẩn của ngành và sự vắng mặt của các kênh như vậy là điều buộc anh phải công khai vấn đề [1]. Đây là mối quan ngại hợp lệ về sự trưởng thành bảo mật tổ chức, không chỉ về sự tồn tại của bất kỳ lỗ hổng nào. **Vấn Đề Hệ Thống vs Ý Đồ Ác Ý:** Bằng chứng cho thấy đây chủ yếu là một thất bại quản trị hệ thống (thiếu quy trình chính thức) hơn là sơ suất hoặc ý đồ ác ý.

He argues this is standard industry practice and that the absence of such channels is what forced him to make the issue public [1].

Services Australia thể hiện sự nhận thức về các lo ngại bảo mật và đang tiến hành các đánh giá [4].

This is a legitimate concern about institutional security maturity, not just about the existence of any single vulnerability. **Systemic Issue vs.

Thất bại là trong việc không có các kênh được thiết lập, được công khai rộng rãi, phản hồi nhanh cho các nhà nghiên cứu để báo cáo lỗ hổng - một vấn đề quy trình hơn là vấn đề kỹ thuật. **Bối Cảnh Thực Hành Ngành:** Các chương trình tiết lộ lỗ hổng (VDP) và thưởng lỗi đã trở thành thực hành tiêu chuẩn của ngành trên các công ty công nghệ lớn và, ngày càng nhiều, các cơ quan chính phủ.

Malicious Intent:** The evidence suggests this was primarily a systemic governance failure (lack of formal processes) rather than negligence or malicious intent.

ASD và Cyber.gov.au đã công bố hướng dẫn về triển khai VDP [12]. Đến năm 2021, sự vắng mặt của VDP chính thức cho một hệ thống an toàn COVID công khai là đáng chú ý so với các thực hành tốt nhất hiện tại, mặc dù nó không độc đáo cho Úc hoặc chính phủ Coalition vào thời điểm đó. **Bối cảnh quan trọng:** Vấn đề tiết lộ lỗ hổng thực sự có vấn đề và đại diện cho một thất bại trong việc tuân theo các thực hành tốt nhất về an ninh mạng đã thiết lập.

Services Australia demonstrated awareness of security concerns and was conducting assessments [4].

Tuy nhiên, không rõ điều này là độc đáo cho phản ứng COVID của Coalition hoặc các chính phủ Labor nhất định sẽ xử lý nó khác đi - vụ My Health Record cho thấy quản trị hệ thống y tế kỹ thuật số đã là thách thức xuyên suốt các đảng phái.

The failure was in not having established, well-publicized, responsive channels for researchers to report vulnerabilities—a process issue rather than a technical issue. **Industry Practice Context:** Vulnerability disclosure programs (VDPs) and bug bounties have become industry standard practice across major tech companies and, increasingly, government agencies.

ĐÚNG MỘT PHẦN

6.0

/ 10

Các tuyên bố dựa trên sự thật cụ thể về việc Services Australia thiếu chương trình tiết lộ lỗ hổng và khó khăn trong việc báo cáo lỗ hổng là **chính xác và được xác minh**.

The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.

Tuy nhiên, tuyên bố rộng hơn cần được làm rõ: 1. ✅ **ĐÚNG:** Services Australia không có chương trình tiết lộ lỗ hổng và tuyên bố rõ ràng không có kế hoạch triển khai [4] 2. ✅ **ĐÚNG:** Báo cáo lỗ hổng là không cần thiết khó khăn và không có quy trình hiệu quả [1] 3. ✅ **ĐÚNG:** Phản ứng chậm và chỉ tăng tốc sau khi tiết lộ công khai [1] 4. ⚠️ **MỘT PHẦN ĐÚNG:** Các tuyên bố về "không tuân thủ các thực hành tốt nhất về an ninh mạng" là hợp lệ, nhưng chính phủ đang tiến hành các đánh giá an ninh mạng và làm việc với ASD; thất bại là cụ thể trong các quy trình tiết lộ lỗ hổng công khai, không phải tất cả các thực hành an ninh mạng [4] 5. ⚠️ **CÁCH TRÌNH BÀY GÂY HIỂU LẦM:** Sự ngụ ý của tuyên bố rằng đây là sự quản lý yếu kém độc đáo của thời kỳ Coalition là không được hỗ trợ tốt.

However, the broader claim requires qualification: 1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4] 2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1] 3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1] 4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4] 5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.

Các dự án y tế kỹ thuật số của chính phủ Labor (My Health Record) phải đối mặt với các vấn đề quản trị và niềm tin bảo mật tương tự [10, 11] 6. ⚠️ **THIẾU BỐI CẢNH:** Trong điều kiện đại dịch năm 2021, việc triển khai nhanh cơ sở hạ tầng y tế công cộng đôi khi cạnh tranh với sự trưởng thành bảo mật; điều này không biện minh cho thất bại nhưng cung cấp bối cảnh Phán quyết là các sự kiện cốt lõi là đúng, lời chỉ trích là chính đáng, nhưng cách trình bày phóng đại tính duy nhất hoặc mức độ nghiêm trọng mà không thừa nhận các vấn đề tương đương trong quản trị y tế kỹ thuật số của Labor.

Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11] 6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.

Điểm cuối cùng

6.0

/ 10

ĐÚNG MỘT PHẦN

The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.