C0024
声明内容
“未遵循COVID数字疫苗的网络安全最佳实践。他们没有有效的方式来报告漏洞,更不用说设置漏洞赏金来阻止将漏洞出售给犯罪分子。当政府最终得知其应用程序中存在漏洞时,他们未能及时响应或解决。”
原始来源: Matthew Davis
分析时间: 29 Jan 2026
原始来源
✅ 事实核查
### ### COVID COVID 数字证书 shù zì zhèng shū 系统 xì tǒng 中 zhōng 的 de 漏洞 lòu dòng
### Vulnerability in COVID Digital Certificate System
该 gāi 主张 zhǔ zhāng 的 de 核心 hé xīn 事实 shì shí 得到 dé dào 实质性 shí zhì xìng 验证 yàn zhèng 。 。 The core facts of the claim are substantially verified.
可信 kě xìn 的 de 安全 ān quán 研究员 yán jiū yuán Richard Richard Nelson Nelson 于 yú 2021 2021 年 nián 9 9 月 yuè 发现 fā xiàn 了 le 澳大利亚 ào dà lì yà Express Express Plus Plus Medicare Medicare COVID COVID - - 19 19 数字证书 shù zì zhèng shū 系统 xì tǒng 中 zhōng 的 de 一个 yí gè 重大 zhòng dà 漏洞 lòu dòng [ [ 1 1 ] ] 。 。 Richard Nelson, a credible security researcher, discovered a significant vulnerability in Australia's Express Plus Medicare COVID-19 digital certificate system in September 2021 [1].
Nelson Nelson 发现 fā xiàn , , 通过 tōng guò 他 tā 所说 suǒ shuō 的 de " " 中间人 zhōng jiān rén " " 漏洞 lòu dòng , , 可以 kě yǐ 轻而易举 qīng ér yì jǔ 地 dì 让 ràng Medicare Medicare 应用程序 yìng yòng chéng xù 显示 xiǎn shì 一个 yí gè 看似 kàn shì 有效 yǒu xiào 的 de COVID COVID - - 19 19 疫苗 yì miáo 证书 zhèng shū [ [ 2 2 ] ] 。 。 Nelson found it was trivial to make the Medicare app display a valid-looking COVID-19 vaccine certificate through what he describes as a "man-in-the-middle" vulnerability [2].
这一 zhè yī 发现 fā xiàn 被 bèi 包括 bāo kuò ABC ABC 在内 zài nèi 的 de 主流 zhǔ liú 媒体 méi tǐ 广泛 guǎng fàn 报道 bào dào [ [ 3 3 ] ] 。 。 This finding was widely reported by mainstream media, including the ABC [3].
### ### 缺乏 quē fá 漏洞 lòu dòng 披露 pī lù 计划 jì huà ### Lack of Vulnerability Disclosure Program
关于 guān yú 缺乏 quē fá 正式 zhèng shì 漏洞 lòu dòng 披露 pī lù 计划 jì huà 的 de 主张 zhǔ zhāng 得到 dé dào 了 le 政府 zhèng fǔ 声明 shēng míng 的 de 证实 zhèng shí 。 。 The claim about the absence of a formal vulnerability disclosure program is confirmed by government statements.
在 zài 2021 2021 年底 nián dǐ 的 de 预算 yù suàn 估算 gū suàn 听证会 tīng zhèng huì 上 shàng , , 当 dāng Labor Labor 参议员 cān yì yuán 就 jiù 安全漏洞 ān quán lòu dòng 向 xiàng Services Services Australia Australia 质询 zhì xún 时 shí , , 该 gāi 机构 jī gòu 明确 míng què 表示 biǎo shì : : " " 目前 mù qián 没有 méi yǒu 任何 rèn hé 漏洞 lòu dòng 披露 pī lù 计划 jì huà , , 也 yě 没有 méi yǒu 任何 rèn hé 未来 wèi lái 实施 shí shī 此类 cǐ lèi 计划 jì huà 的 de 安排 ān pái " " [ [ 4 4 ] ] 。 。 During Budget Estimates hearings in late 2021, when grilled by Labor senators about the security vulnerabilities, Services Australia explicitly stated: "There are currently no vulnerability disclosure programs in place nor any future plans to implement such a program for the digital vaccination certificates" [4].
此外 cǐ wài , , 数字 shù zì 转型 zhuǎn xíng 局 jú ( ( DTA DTA ) ) 表示 biǎo shì " " 没有 méi yǒu 考虑 kǎo lǜ 建立 jiàn lì 赏金 shǎng jīn 计划 jì huà 的 de 打算 dǎ suàn " " [ [ 5 5 ] ] 。 。 Additionally, the Digital Transformation Agency (DTA) stated it had "no plans to consider establishing bounty programs" [5].
### ### 报告 bào gào 漏洞 lòu dòng 的 de 困难 kùn nán ### Difficulty Reporting Vulnerabilities
Nelson Nelson 的 de 个人经历 gè rén jīng lì 证实 zhèng shí 了 le 该 gāi 主张 zhǔ zhāng 的 de 第二 dì èr 部分 bù fèn 。 。 Nelson's personal experience corroborates the second part of the claim.
当 dāng 他 tā 发现 fā xiàn 漏洞 lòu dòng 时 shí , , 他 tā 在 zài 通过 tōng guò 适当 shì dàng 渠道 qú dào 报告 bào gào 时 shí 面临 miàn lín 重大 zhòng dà 挑战 tiǎo zhàn [ [ 1 1 ] ] 。 。 When he discovered the vulnerability, he faced significant challenges in reporting it through proper channels [1].
他 tā 尝试 cháng shì 了 le 多种 duō zhǒng 报告 bào gào 途径 tú jìng : : He attempted multiple reporting pathways:
- Tried calling Services Australia directly but gave up after being placed on hold [1]
- Found the Department of Health had a Vulnerability Disclosure Policy, but Express Plus Medicare fell under Services Australia, not Health [1]
- Reported it via ReportCyber and the Australian Signals Directorate (ASD), but received no response until days later [1]
- Only after publicly tweeting about the vulnerability and being contacted by journalists did Services Australia appear to take action [1]
- - 尝试 cháng shì 直接 zhí jiē 致电 zhì diàn Services Services Australia Australia , , 但 dàn 在 zài 被 bèi 搁置 gē zhì 后 hòu 放弃 fàng qì 了 le [ [ 1 1 ] ] ### Response and Remediation Timeliness
- - 发现 fā xiàn 卫生部 wèi shēng bù 有 yǒu 漏洞 lòu dòng 披露 pī lù 政策 zhèng cè , , 但 dàn Express Express Plus Plus Medicare Medicare 属于 shǔ yú Services Services Australia Australia , , 而 ér 非 fēi 卫生部 wèi shēng bù [ [ 1 1 ] ] The evidence supports criticism of response timeliness.
- - 通过 tōng guò ReportCyber ReportCyber 和 hé 澳大利亚 ào dà lì yà 信号 xìn hào 局 jú ( ( ASD ASD ) ) 报告 bào gào , , 但 dàn 直到 zhí dào 几天 jǐ tiān 后 hòu 才 cái 收到 shōu dào 回复 huí fù [ [ 1 1 ] ] Nelson noted that Services Australia did not reach out to him after he went public via Twitter and media, likely because the issue had become sensitive and the agency wanted to avoid additional press coverage [1].
- - 只有 zhǐ yǒu 在 zài 公开 gōng kāi 在 zài 推特上 tuī tè shàng 发布 fā bù 漏洞 lòu dòng 并 bìng 被 bèi 记者 jì zhě 联系 lián xì 后 hòu , , Services Services Australia Australia 似乎 sì hū 才 cái 采取行动 cǎi qǔ xíng dòng [ [ 1 1 ] ] This demonstrates a reactive rather than proactive approach to vulnerability handling.
### ### 响应 xiǎng yìng 和 hé 修复 xiū fù 的 de 及时性 jí shí xìng However, the sources do not provide explicit evidence of extended remediation timelines after the initial reporting or public disclosure.
证据 zhèng jù 支持 zhī chí 对 duì 响应 xiǎng yìng 及时性 jí shí xìng 的 de 批评 pī píng 。 。 Nelson Nelson 指出 zhǐ chū , , 在 zài 他 tā 通过 tōng guò 推特 tuī tè 和 hé 媒体 méi tǐ 公开 gōng kāi 后 hòu , , Services Services Australia Australia 并未 bìng wèi 与 yǔ 他 tā 联系 lián xì , , 可能 kě néng 是因为 shì yīn wèi 该 gāi 问题 wèn tí 已 yǐ 变得 biàn dé 敏感 mǐn gǎn , , 该 gāi 机构 jī gòu 希望 xī wàng 避免 bì miǎn 额外 é wài 的 de 媒体报道 méi tǐ bào dào [ [ 1 1 ] ] 。 。 这 zhè demonstrate demonstrate 了 le 一种 yī zhǒng 被动 bèi dòng 而 ér 非 fēi 主动 zhǔ dòng 的 de 漏洞 lòu dòng 处理 chǔ lǐ 方式 fāng shì 。 。 然而 rán ér , , 来源 lái yuán 未 wèi 提供 tí gōng 关于 guān yú 初次 chū cì 报告 bào gào 或 huò 公开 gōng kāi 披露 pī lù 后 hòu 延长 yán cháng 修复 xiū fù 时间表 shí jiān biǎo 的 de 明确 míng què 证据 zhèng jù 。 。 缺失背景
该 gāi 主张 zhǔ zhāng 需要 xū yào 大量 dà liàng 额外 é wài 背景 bèi jǐng : :
The claim requires significant additional context:
**1.
* * * * 1 1 . . 政府 zhèng fǔ 网络安全 wǎng luò ān quán 框架 kuāng jià 存在 cún zài : : * * * * Services Services Australia Australia 声称 shēng chēng 每年 měi nián 进行 jìn xíng " " 多次 duō cì 完整 wán zhěng 的 de 网络 wǎng luò 评估 píng gū " " , , 并 bìng 表示 biǎo shì " " 与 yǔ 澳大利亚 ào dà lì yà 信号 xìn hào 局 jú 和 hé 澳大利亚 ào dà lì yà 网络安全 wǎng luò ān quán 中心 zhōng xīn 密切合作 mì qiè hé zuò , , 关注 guān zhù 移动 yí dòng 应用程序 yìng yòng chéng xù 的 de 潜在 qián zài 漏洞 lòu dòng " " [ [ 4 4 ] ] 。 。 Government Cybersecurity Framework Existed:** Services Australia claimed to undertake "full cyber assessments several times a year" and stated it "work[s] closely with the Australian Signals Directorate and Australian Cyber Security Centre on potential vulnerabilities on mobile applications" [4].
这 zhè 表明 biǎo míng 政府 zhèng fǔ 确实 què shí 有 yǒu 网络安全 wǎng luò ān quán 流程 liú chéng , , 尽管 jǐn guǎn 它们 tā men 不足以 bù zú yǐ 处理 chǔ lǐ 研究员 yán jiū yuán 报告 bào gào 。 。 This indicates the government did have cybersecurity processes in place, though they were not sufficient for handling researcher reports.
**2.
* * * * 2 2 . . 某些 mǒu xiē 机构 jī gòu 已有 yǐ yǒu 漏洞 lòu dòng 披露 pī lù 计划 jì huà : : * * * * 虽然 suī rán Services Services Australia Australia 缺乏 quē fá VDP VDP , , 但 dàn 其他 qí tā 澳大利亚政府 ào dà lì yà zhèng fǔ 机构 jī gòu 已 yǐ 实施 shí shī 。 。 Some Agencies Had Vulnerability Disclosure Programs:** While Services Australia lacked a VDP, other Australian government agencies had implemented them.
内政部 nèi zhèng bù 已 yǐ 实施 shí shī 漏洞 lòu dòng 披露 pī lù 计划 jì huà [ [ 6 6 ] ] , , 新南威尔士州 xīn nán wēi ěr shì zhōu 服务局 fú wù jú 通过 tōng guò Bugcrowd Bugcrowd 运营 yùn yíng 漏洞 lòu dòng 赏金 shǎng jīn 计划 jì huà [ [ 7 7 ] ] 。 。 The Department of Home Affairs had a Vulnerability Disclosure Program in place [6], and Service NSW operated a bug bounty program through Bugcrowd [7].
这 zhè 表明 biǎo míng 各 gè 机构 jī gòu 实施 shí shī 不 bù 一致 yí zhì , , 而 ér 非全 fēi quán 政府 zhèng fǔ 范围 fàn wéi 的 de 政策 zhèng cè 失败 shī bài 。 。 This suggests inconsistent implementation across agencies rather than a government-wide policy failure.
**3.
* * * * 3 3 . . 严重性 yán zhòng xìng 评估 píng gū : : * * * * Services Services Australia Australia 将 jiāng 所 suǒ 需 xū 攻击 gōng jī 描述 miáo shù 为 wèi " " 需要 xū yào 大量 dà liàng 知识 zhī shí 和 hé 专长 zhuān cháng " " [ [ 4 4 ] ] , , 表明 biǎo míng 他们 tā men 认为 rèn wéi 实际 shí jì 风险 fēng xiǎn 低于 dī yú 理论 lǐ lùn 漏洞 lòu dòng 可能 kě néng 暗示 àn shì 的 de 程度 chéng dù 。 。 Severity Assessment:** Services Australia characterized the required attack as something that "require[s] significant knowledge and expertise" [4], suggesting they viewed the practical risk as lower than the theoretical vulnerability might suggest.
然而 rán ér , , 这一 zhè yī 辩护 biàn hù 力度 lì dù 较弱 jiào ruò — — — — 无论 wú lùn 攻击 gōng jī 复杂程度 fù zá chéng dù 如何 rú hé , , 安全漏洞 ān quán lòu dòng 都 dōu 应 yīng 得到 dé dào 解决 jiě jué 。 。 However, this defense is weak—security vulnerabilities should be addressed regardless of attack complexity.
**4.
* * * * 4 4 . . 可 kě 伪造 wěi zào 性 xìng 与 yǔ 篡改 cuàn gǎi : : * * * * 该 gāi 漏洞 lòu dòng 涉及 shè jí 让 ràng 应用程序 yìng yòng chéng xù 显示 xiǎn shì 虚假 xū jiǎ 证书 zhèng shū ( ( 客户端 kè hù duān 漏洞 lòu dòng ) ) , , 而 ér 非 fēi 创建 chuàng jiàn 能 néng 通过 tōng guò 后 hòu 端 duān 验证 yàn zhèng 的 de 伪造 wěi zào 证书 zhèng shū 。 。 Forgeability vs.
Nelson Nelson 自己 zì jǐ 的 de 推文 tuī wén 强调 qiáng diào 了 le 显示 xiǎn shì 漏洞 lòu dòng 的 de 简便性 jiǎn biàn xìng , , 但 dàn 有限 yǒu xiàn 证据 zhèng jù 表明 biǎo míng 底层 dǐ céng 注册表 zhù cè biǎo 可 kě 被 bèi 欺骗 qī piàn [ [ 3 3 ] ] 。 。 Tampering:** The vulnerability involved making the app display a false certificate (client-side vulnerability) rather than creating counterfeit certificates that would pass backend validation.
* * * * 5 5 . . 推出 tuī chū 时间 shí jiān 线 xiàn : : * * * * COVID COVID - - 19 19 数字证书 shù zì zhèng shū 是 shì 在 zài 疫情 yì qíng 期间 qī jiān 的 de 2021 2021 年 nián 中期 zhōng qī 相对 xiāng duì 仓促 cāng cù 推出 tuī chū 的 de [ [ 8 8 ] ] 。 。 Nelson's own tweet emphasized the ease of the display vulnerability, but there's limited evidence the underlying registry could be spoofed [3].
**5.
这一 zhè yī 背景 bèi jǐng 不能 bù néng 为 wèi 安全 ān quán 缺陷 quē xiàn 开脱 kāi tuō , , 但 dàn 解释 jiě shì 了 le 快速 kuài sù 部署 bù shǔ 的 de 一些 yī xiē 压力 yā lì 。 。 Timeline of Rollout:** The COVID-19 digital certificate was introduced relatively hastily during pandemic conditions (rolled out in mid-2021) [8].
来源可信度评估
### ### 原始 yuán shǐ 来源 lái yuán
### Original Sources
* * * * Richard Richard Nelson Nelson ( ( Medium Medium 文章 wén zhāng ) ) : : * * * * **Richard Nelson (Medium article):**
- Credible security researcher with demonstrable expertise; his other Medium articles show deep technical knowledge of government security systems (COVIDSafe analysis, Service NSW driver license reverse engineering) [1]
- Personal account of attempting responsible disclosure; makes genuine effort to follow proper procedures before going public [1]
- Transparent about his frustration and emotional state; acknowledges the difficulty of his position [1]
- Appears motivated by public security, not partisan politics; no evidence of political alignment toward Labor [1]
**ZDNet (Campbell Kwan article):**
- Mainstream technology news outlet with editorial standards [9]
- Reports on Budget Estimates proceedings, which are documented public records [4]
- Accurately cites the government's own statements; quotes are verifiable [4]
- Campbell Kwan is a regular contributor on government technology issues [9]
- However, the article emphasizes criticism from Labor senators and doesn't deeply explore government rationale or mitigating context
- - 具有 jù yǒu 可 kě 证明 zhèng míng 专业知识 zhuān yè zhī shí 可信 kě xìn 安全 ān quán 研究员 yán jiū yuán ; ; 他 tā 的 de 其他 qí tā Medium Medium 文章 wén zhāng 显示 xiǎn shì 对 duì 政府 zhèng fǔ 安全 ān quán 系统 xì tǒng ( ( COVIDSafe COVIDSafe 分析 fēn xī 、 、 新南威尔士州 xīn nán wēi ěr shì zhōu 服务局 fú wù jú 驾驶执照 jià shǐ zhí zhào 逆向 nì xiàng 工程 gōng chéng ) ) 有 yǒu 深入 shēn rù 了解 liǎo jiě 的 de 技术 jì shù 知识 zhī shí [ [ 1 1 ] ] ### Bias Assessment
- - 尝试 cháng shì 负责 fù zé 任 rèn 披露 pī lù 的 de 个人账户 gè rén zhàng hù ; ; 在 zài 公开 gōng kāi 前 qián 真诚 zhēn chéng 努力 nǔ lì 遵循 zūn xún 适当 shì dàng 程序 chéng xù [ [ 1 1 ] ] Neither source appears primarily motivated by partisan bias, though the ZDNet article gives prominence to Labor senators' criticisms in a federal Budget Estimates context.
- - 对 duì 自己 zì jǐ 的 de 挫败 cuò bài 感 gǎn 和 hé 情绪 qíng xù 状态 zhuàng tài 保持 bǎo chí 透明 tòu míng ; ; 承认 chéng rèn 自己 zì jǐ 所 suǒ 处 chù 位置 wèi zhì 的 de 困难 kùn nán [ [ 1 1 ] ] The sources are factual and verifiable, though they emphasize government failures rather than providing balanced context.
- - 似乎 sì hū 出于 chū yú 公共安全 gōng gòng ān quán 动机 dòng jī , , 而 ér 非 fēi 党派 dǎng pài 政治 zhèng zhì ; ; 没有 méi yǒu 证据 zhèng jù 表明 biǎo míng 其 qí 倾向 qīng xiàng 于 yú Labor Labor [ [ 1 1 ] ] This is appropriate for security reporting—the vulnerability was real and the response was inadequate—but the framing is inherently critical rather than neutral.
* * * * ZDNet ZDNet ( ( Campbell Campbell Kwan Kwan 文章 wén zhāng ) ) : : * * * * - - 具有 jù yǒu 编辑 biān jí 标准 biāo zhǔn 的 de 主流 zhǔ liú 科技 kē jì 新闻媒体 xīn wén méi tǐ [ [ 9 9 ] ] - - 报道 bào dào 预算 yù suàn 估算 gū suàn 程序 chéng xù , , 这些 zhè xiē 是 shì 记录在案 jì lù zài àn 的 de 公开 gōng kāi 记录 jì lù [ [ 4 4 ] ] - - 准确 zhǔn què 引用 yǐn yòng 政府 zhèng fǔ 自己 zì jǐ 的 de 声明 shēng míng ; ; 引述 yǐn shù 可验证 kě yàn zhèng [ [ 4 4 ] ] - - Campbell Campbell Kwan Kwan 是 shì 政府 zhèng fǔ 技术 jì shù 问题 wèn tí 的 de 定期 dìng qī 撰稿人 zhuàn gǎo rén [ [ 9 9 ] ] - - 然而 rán ér , , 文章 wén zhāng 强调 qiáng diào Labor Labor 参议员 cān yì yuán 的 de 批评 pī píng , , 并未 bìng wèi 深入探讨 shēn rù tàn tǎo 政府 zhèng fǔ 理由 lǐ yóu 或 huò 缓解 huǎn jiě 性 xìng 背景 bèi jǐng ### ### 偏见 piān jiàn 评估 píng gū 两个 liǎng gè 来源 lái yuán 似乎 sì hū 都 dōu 不是 bú shì 主要 zhǔ yào 由 yóu 党派 dǎng pài 偏见 piān jiàn 驱动 qū dòng , , 尽管 jǐn guǎn ZDNet ZDNet 文章 wén zhāng 在 zài 联邦 lián bāng 预算 yù suàn 估算 gū suàn 背景 bèi jǐng 下 xià 突出 tū chū Labor Labor 参议员 cān yì yuán 的 de 批评 pī píng 。 。 来源 lái yuán 是 shì 事实性 shì shí xìng 和 hé 可验证 kě yàn zhèng 的 de , , 尽管 jǐn guǎn 它们 tā men 强调 qiáng diào 政府 zhèng fǔ 失败 shī bài 而 ér 非 fēi 提供 tí gōng 平衡 píng héng 背景 bèi jǐng 。 。 这 zhè 适合 shì hé 安全 ān quán 报告 bào gào — — — — 漏洞 lòu dòng 是 shì 真实 zhēn shí 的 de , , 响应 xiǎng yìng 是 shì 不 bù 充分 chōng fèn 的 de — — — — 但 dàn 框架 kuāng jià 本质 běn zhì 上 shàng 是 shì 批评性 pī píng xìng 的 de 而 ér 非 fēi 中立 zhōng lì 的 de 。 。 ⚖️
工党对比
* * * * Labor Labor 的 de 数字 shù zì 健康 jiàn kāng 系统 xì tǒng 是否 shì fǒu 存在 cún zài 重大 zhòng dà 网络安全 wǎng luò ān quán 问题 wèn tí ? ?
**Did Labor have significant cybersecurity issues with digital health systems?**
Search conducted: "Labor government Australian digital health system cybersecurity privacy breach MyHealth Records"
Labor's handling of the My Health Record system shows relevant precedent.
* * * * The My Health Record was introduced by the Labor government in 2012 and became highly controversial [10].
搜索 sōu suǒ 查询 chá xún : : " " Labor Labor 政府 zhèng fǔ 澳大利亚 ào dà lì yà 数字 shù zì 健康 jiàn kāng 系统 xì tǒng 网络安全 wǎng luò ān quán 隐私 yǐn sī 泄露 xiè lòu MyHealth MyHealth Records Records " " The system faced significant privacy concerns, leading Labor itself to call for a suspension of the rollout when the Coalition expanded it [11].
Labor Labor 对 duì My My Health Health Record Record 系统 xì tǒng 的 de 处理 chǔ lǐ 显示 xiǎn shì 了 le 相关 xiāng guān 先例 xiān lì 。 。 The Privacy Commissioner raised concerns, and there was substantial public backlash [10].
My My Health Health Record Record 于 yú 2012 2012 年 nián 由 yóu Labor Labor 政府 zhèng fǔ 推出 tuī chū , , 并 bìng 引发 yǐn fā 高度 gāo dù 争议 zhēng yì [ [ 10 10 ] ] 。 。 While this represents a broader policy failure (flawed design from the start) rather than a cybersecurity vulnerability disclosure issue specifically, it demonstrates that Labor governments have also struggled with digital health system security and public trust in similar areas.
**Comparable Cybersecurity Incident:** There is no evidence of Labor government digital health systems facing similar cybersecurity vulnerability disclosure policy gaps during their period in government (2007-2013).
该 gāi 系统 xì tǒng 面临 miàn lín 重大 zhòng dà 隐私 yǐn sī 问题 wèn tí , , 导致 dǎo zhì Labor Labor 自己 zì jǐ 在 zài 联盟党 lián méng dǎng 扩展 kuò zhǎn 时 shí 呼吁 hū yù 暂停 zàn tíng 推出 tuī chū [ [ 11 11 ] ] 。 。 However, the broader theme of inadequate digital security governance appears to be a systemic Australian government issue across parties rather than unique to the Coalition.
隐私 yǐn sī 专员 zhuān yuán 提出 tí chū 担忧 dān yōu , , 公众 gōng zhòng 强烈 qiáng liè 反对 fǎn duì [ [ 10 10 ] ] 。 。 虽然 suī rán 这 zhè 代表 dài biǎo 更 gèng 广泛 guǎng fàn 的 de 政策 zhèng cè 失败 shī bài ( ( 从 cóng 一 yī 开始 kāi shǐ 就 jiù 有 yǒu 缺陷 quē xiàn 的 de 设计 shè jì ) ) , , 而 ér 非 fēi 具体 jù tǐ 的 de 网络安全 wǎng luò ān quán 漏洞 lòu dòng 披露 pī lù 问题 wèn tí , , 但 dàn 它 tā 表明 biǎo míng Labor Labor 政府 zhèng fǔ 在 zài 数字 shù zì 健康 jiàn kāng 系统安全 xì tǒng ān quán 和 hé 公众 gōng zhòng 信任 xìn rèn 方面 fāng miàn 也 yě 曾 céng 在 zài 类似 lèi sì 领域 lǐng yù 挣扎 zhēng zhá 。 。 * * * * 可比 kě bǐ 网络安全 wǎng luò ān quán 事件 shì jiàn : : * * * * 没有 méi yǒu 证据 zhèng jù 表明 biǎo míng Labor Labor 政府 zhèng fǔ 数字 shù zì 健康 jiàn kāng 系统 xì tǒng 在 zài 执政 zhí zhèng 期间 qī jiān ( ( 2007 2007 - - 2013 2013 年 nián ) ) 面临 miàn lín 类似 lèi sì 的 de 网络安全 wǎng luò ān quán 漏洞 lòu dòng 披露 pī lù 政策 zhèng cè 缺口 quē kǒu 。 。 然而 rán ér , , 不 bù 充分 chōng fèn 的 de 数字 shù zì 安全 ān quán 治理 zhì lǐ 这一 zhè yī 更 gèng 广泛 guǎng fàn 的 de 主题 zhǔ tí 似乎 sì hū 是 shì 跨越 kuà yuè 党派 dǎng pài 的 de 系统性 xì tǒng xìng 澳大利亚政府 ào dà lì yà zhèng fǔ 问题 wèn tí , , 而 ér 非 fēi 联盟党 lián méng dǎng 独有 dú yǒu 。 。 🌐
平衡视角
* * * * 政府 zhèng fǔ 立场 lì chǎng : : * * * *
**Government's Position:**
Services Australia maintained that the COVID-19 digital certificate system included multiple security layers and that the vulnerability discovered required "significant knowledge and expertise" to exploit [4].
Services Services Australia Australia 坚称 jiān chēng COVID COVID - - 19 19 数字证书 shù zì zhèng shū 系统 xì tǒng 包含 bāo hán 多层 duō céng 安全 ān quán , , 发现 fā xiàn 的 de 漏洞 lòu dòng 需要 xū yào " " 大量 dà liàng 知识 zhī shí 和 hé 专长 zhuān cháng " " 才能 cái néng 利用 lì yòng [ [ 4 4 ] ] 。 。 The agency emphasized it was cooperating with the Australian Signals Directorate and conducting regular cyber assessments [4].
该 gāi 机构 jī gòu 强调 qiáng diào 正在 zhèng zài 与 yǔ 澳大利亚 ào dà lì yà 信号 xìn hào 局 jú 合作 hé zuò 并 bìng 进行 jìn xíng 定期 dìng qī 网络 wǎng luò 评估 píng gū [ [ 4 4 ] ] 。 。 The government's perspective was that while the vulnerability should be addressed, it was not a critical failure requiring immediate overhaul of the entire system.
**Security Expert Perspective:**
Richard Nelson's position is well-reasoned from a security governance standpoint: even if a vulnerability requires expertise to exploit, proper channels for responsible disclosure should exist.
政府 zhèng fǔ 的 de 观点 guān diǎn 是 shì , , 虽然 suī rán 应该 yīng gāi 解决 jiě jué 该 gāi 漏洞 lòu dòng , , 但 dàn 它 tā 不是 bú shì 需要 xū yào 立即 lì jí 彻底 chè dǐ 改革 gǎi gé 整个 zhěng gè 系统 xì tǒng 的 de 关键 guān jiàn 失败 shī bài 。 。 He argues this is standard industry practice and that the absence of such channels is what forced him to make the issue public [1].
* * * * 安全 ān quán 专家 zhuān jiā 观点 guān diǎn : : * * * * This is a legitimate concern about institutional security maturity, not just about the existence of any single vulnerability.
**Systemic Issue vs.
从 cóng 安全 ān quán 治理 zhì lǐ 角度 jiǎo dù 来看 lái kàn , , Richard Richard Nelson Nelson 的 de 立场 lì chǎng 是 shì 合理 hé lǐ 的 de : : 即使 jí shǐ 漏洞 lòu dòng 需要 xū yào 专业知识 zhuān yè zhī shí 才能 cái néng 利用 lì yòng , , 也 yě 应该 yīng gāi 存在 cún zài 适当 shì dàng 的 de 负责 fù zé 任 rèn 披露 pī lù 渠道 qú dào 。 。 Malicious Intent:**
The evidence suggests this was primarily a systemic governance failure (lack of formal processes) rather than negligence or malicious intent.
他 tā 认为 rèn wéi 这是 zhè shì 标准 biāo zhǔn 行业 háng yè 实践 shí jiàn , , 缺乏 quē fá 此类 cǐ lèi 渠道 qú dào 迫使 pò shǐ 他 tā 公开 gōng kāi 问题 wèn tí [ [ 1 1 ] ] 。 。 Services Australia demonstrated awareness of security concerns and was conducting assessments [4].
这 zhè 是 shì 对 duì 机构 jī gòu 安全 ān quán 成熟度 chéng shú dù 的 de 合理 hé lǐ 担忧 dān yōu , , 不仅仅 bù jǐn jǐn 是 shì 关于 guān yú 任何 rèn hé 单一 dān yī 漏洞 lòu dòng 的 de 存在 cún zài 。 。 The failure was in not having established, well-publicized, responsive channels for researchers to report vulnerabilities—a process issue rather than a technical issue.
**Industry Practice Context:**
Vulnerability disclosure programs (VDPs) and bug bounties have become industry standard practice across major tech companies and, increasingly, government agencies.
* * * * 系统性 xì tǒng xìng 问题 wèn tí 与 yǔ 恶意 è yì 意图 yì tú : : * * * * The ASD and Cyber.gov.au have published guidance on implementing VDPs [12].
证据 zhèng jù 表明 biǎo míng 这 zhè 主要 zhǔ yào 是 shì 系统性 xì tǒng xìng 治理 zhì lǐ 失败 shī bài ( ( 缺乏 quē fá 正式 zhèng shì 流程 liú chéng ) ) , , 而 ér 非 fēi 疏忽 shū hū 或 huò 恶意 è yì 意图 yì tú 。 。 By 2021, the absence of a formal VDP for a public-facing COVID safety system was notably behind current best practices, though it wasn't unique to Australia or the Coalition government at that time.
**Key context:** The vulnerability disclosure issue is genuinely problematic and represents a failure to follow established cybersecurity best practices.
Services Services Australia Australia 表现 biǎo xiàn 出对 chū duì 安全 ān quán 问题 wèn tí 的 de 意识 yì shí 并 bìng 进行 jìn xíng 评估 píng gū [ [ 4 4 ] ] 。 。 However, it's not clear this was unique to the Coalition's COVID response or that Labor governments would necessarily have handled it differently—the My Health Record case shows digital health system governance has been challenging across parties.
失败 shī bài 在于 zài yú 没有 méi yǒu 建立 jiàn lì 公开 gōng kāi 、 、 响应 xiǎng yìng 迅速 xùn sù 的 de 渠道 qú dào 供 gōng 研究员 yán jiū yuán 报告 bào gào 漏洞 lòu dòng — — — — 这是 zhè shì 一个 yí gè 流程 liú chéng 问题 wèn tí 而 ér 非技术 fēi jì shù 问题 wèn tí 。 。 * * * * 行业 háng yè 实践 shí jiàn 背景 bèi jǐng : : * * * * 漏洞 lòu dòng 披露 pī lù 计划 jì huà ( ( VDP VDP ) ) 和 hé 漏洞 lòu dòng 赏金 shǎng jīn 已 yǐ 成为 chéng wéi 主要 zhǔ yào 科技 kē jì 公司 gōng sī 和 hé 越来越 yuè lái yuè 多 duō 政府 zhèng fǔ 机构 jī gòu 的 de 标准 biāo zhǔn 行业 háng yè 实践 shí jiàn 。 。 ASD ASD 和 hé Cyber Cyber . . gov gov . . au au 已 yǐ 发布 fā bù 实施 shí shī VDP VDP 的 de 指南 zhǐ nán [ [ 12 12 ] ] 。 。 到 dào 2021 2021 年 nián , , 面向 miàn xiàng 公众 gōng zhòng 的 de COVID COVID 安全 ān quán 系统 xì tǒng 缺乏 quē fá 正式 zhèng shì VDP VDP 明显 míng xiǎn 落后 luò hòu 于 yú 当前 dāng qián 最佳 zuì jiā 实践 shí jiàn , , 尽管 jǐn guǎn 这 zhè 并非 bìng fēi 澳大利亚 ào dà lì yà 或 huò 当时 dāng shí 联盟党 lián méng dǎng 政府 zhèng fǔ 独有 dú yǒu 。 。 * * * * 关键 guān jiàn 背景 bèi jǐng : : * * * * 漏洞 lòu dòng 披露 pī lù 问题 wèn tí 确实 què shí 存在 cún zài 问题 wèn tí , , 代表 dài biǎo 未能 wèi néng 遵循 zūn xún 已 yǐ 建立 jiàn lì 的 de 网络安全 wǎng luò ān quán 最佳 zuì jiā 实践 shí jiàn 。 。 然而 rán ér , , 尚 shàng 不 bù 清楚 qīng chǔ 这 zhè 是否是 shì fǒu shì 联盟党 lián méng dǎng COVID COVID 应对 yìng duì 独有 dú yǒu 的 de , , 或者 huò zhě Labor Labor 政府 zhèng fǔ 是否 shì fǒu 会以 huì yǐ 不同 bù tóng 方式 fāng shì 处理 chǔ lǐ — — — — My My Health Health Record Record 案例 àn lì 显示 xiǎn shì 数字 shù zì 健康 jiàn kāng 系统 xì tǒng 治理 zhì lǐ 对 duì 两党 liǎng dǎng 都 dōu 一直 yì zhí 具有 jù yǒu 挑战性 tiǎo zhàn xìng 。 。 部分属实
6.0
/ 10
关于 guān yú Services Services Australia Australia 缺乏 quē fá 漏洞 lòu dòng 披露 pī lù 计划 jì huà 以及 yǐ jí 报告 bào gào 漏洞 lòu dòng 困难 kùn nán 的 de 具体 jù tǐ 事实性 shì shí xìng 主张 zhǔ zhāng 是 shì * * * * 准确 zhǔn què 且 qiě 经验 jīng yàn 证 zhèng 的 de * * * * 。 。
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
然而 rán ér , , 更 gèng 广泛 guǎng fàn 的 de 主张 zhǔ zhāng 需要 xū yào 限定 xiàn dìng : : However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
1 1 . . ✅ ✅ * * * * 正确 zhèng què : : * * * * Services Services Australia Australia 没有 méi yǒu 漏洞 lòu dòng 披露 pī lù 计划 jì huà , , 并 bìng 明确 míng què 表示 biǎo shì 没有 méi yǒu 实施 shí shī 计划 jì huà [ [ 4 4 ] ] Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
2 2 . . ✅ ✅ * * * * 正确 zhèng què : : * * * * 报告 bào gào 漏洞 lòu dòng 不必要 bù bì yào 地 dì 困难 kùn nán , , 没有 méi yǒu 有效 yǒu xiào 流程 liú chéng [ [ 1 1 ] ] 3 3 . . ✅ ✅ * * * * 正确 zhèng què : : * * * * 响应 xiǎng yìng 缓慢 huǎn màn , , 仅 jǐn 在 zài 公开 gōng kāi 披露 pī lù 后 hòu 才 cái 加速 jiā sù [ [ 1 1 ] ] 4 4 . . ⚠ ⚠ ️ ️ * * * * 部分 bù fèn 正确 zhèng què : : * * * * 关于 guān yú " " 未 wèi 遵循 zūn xún 网络安全 wǎng luò ān quán 最佳 zuì jiā 实践 shí jiàn " " 的 de 主张 zhǔ zhāng 是 shì 有效 yǒu xiào 的 de , , 但 dàn 政府 zhèng fǔ 确实 què shí 在 zài 进行 jìn xíng 网络 wǎng luò 评估 píng gū 并 bìng 与 yǔ ASD ASD 合作 hé zuò ; ; 失败 shī bài specifically specifically 在于 zài yú 公开 gōng kāi 漏洞 lòu dòng 披露 pī lù 流程 liú chéng , , 而 ér 非 fēi 所有 suǒ yǒu 网络安全 wǎng luò ān quán 实践 shí jiàn [ [ 4 4 ] ] 5 5 . . ⚠ ⚠ ️ ️ * * * * 误导性 wù dǎo xìng 框架 kuāng jià : : * * * * 该 gāi 主张 zhǔ zhāng 暗示 àn shì 这是 zhè shì 联盟党 lián méng dǎng 时代 shí dài uniquely uniquely 恶劣 è liè 的 de 管理 guǎn lǐ 不善 bù shàn , , 这一 zhè yī 说法 shuō fǎ 没有 méi yǒu 得到 dé dào 充分 chōng fèn 支持 zhī chí 。 。 Labor Labor 政府 zhèng fǔ 数字 shù zì 健康 jiàn kāng 项目 xiàng mù ( ( My My Health Health Record Record ) ) 面临 miàn lín 类似 lèi sì 的 de 治理 zhì lǐ 和 hé 安全 ān quán 信任 xìn rèn 问题 wèn tí [ [ 10 10 , , 11 11 ] ] 6 6 . . ⚠ ⚠ ️ ️ * * * * 背景 bèi jǐng 缺失 quē shī : : * * * * 2021 2021 年 nián 疫情 yì qíng 期间 qī jiān , , 公共卫生 gōng gòng wèi shēng 基础设施 jī chǔ shè shī 的 de 快速 kuài sù 部署 bù shǔ 有时 yǒu shí 与 yǔ 安全 ān quán 成熟度 chéng shú dù 竞争 jìng zhēng ; ; 这 zhè 不能 bù néng 为 wèi 失败 shī bài 开脱 kāi tuō , , 但 dàn 提供 tí gōng 了 le 背景 bèi jǐng 裁决 cái jué 是 shì 核心 hé xīn 事实 shì shí 可靠 kě kào , , 批评 pī píng 合理 hé lǐ , , 但 dàn 框架 kuāng jià 在 zài 没有 méi yǒu 承认 chéng rèn Labor Labor 数字 shù zì 健康 jiàn kāng 治理 zhì lǐ 中 zhōng 类似 lèi sì 问题 wèn tí 的 de 情况 qíng kuàng 下 xià 夸大 kuā dà 了 le 独特性 dú tè xìng 或 huò 严重性 yán zhòng xìng 。 。 最终评分
6.0
/ 10
部分属实
关于 guān yú Services Services Australia Australia 缺乏 quē fá 漏洞 lòu dòng 披露 pī lù 计划 jì huà 以及 yǐ jí 报告 bào gào 漏洞 lòu dòng 困难 kùn nán 的 de 具体 jù tǐ 事实性 shì shí xìng 主张 zhǔ zhāng 是 shì * * * * 准确 zhǔn què 且 qiě 经验 jīng yàn 证 zhèng 的 de * * * * 。 。
The specific factual claims about Services Australia's lack of a vulnerability disclosure program and the difficulty in reporting vulnerabilities are **accurate and verified**.
然而 rán ér , , 更 gèng 广泛 guǎng fàn 的 de 主张 zhǔ zhāng 需要 xū yào 限定 xiàn dìng : : However, the broader claim requires qualification:
1. ✅ **TRUE:** Services Australia had no vulnerability disclosure program and explicitly stated no plans to implement one [4]
2. ✅ **TRUE:** Reporting vulnerabilities was unnecessarily difficult and no effective process existed [1]
3. ✅ **TRUE:** Response was slow and only accelerated after public disclosure [1]
4. ⚠️ **PARTIALLY TRUE:** Claims about "not following cybersecurity best practice" are valid, but government was conducting cyber assessments and working with ASD; the failure was specifically in public vulnerability disclosure processes, not all cybersecurity practices [4]
5. ⚠️ **MISLEADING FRAMING:** The claim's implication that this was uniquely egregious Coalition-era mismanagement is not well-supported.
1 1 . . ✅ ✅ * * * * 正确 zhèng què : : * * * * Services Services Australia Australia 没有 méi yǒu 漏洞 lòu dòng 披露 pī lù 计划 jì huà , , 并 bìng 明确 míng què 表示 biǎo shì 没有 méi yǒu 实施 shí shī 计划 jì huà [ [ 4 4 ] ] Labor government digital health projects (My Health Record) faced similar governance and security trust issues [10, 11]
6. ⚠️ **CONTEXT MISSING:** During pandemic conditions in 2021, rapid deployment of public health infrastructure sometimes competed with security maturity; this doesn't excuse the failure but provides context
The verdict is that the core facts are sound, the criticism is legitimate, but the framing overstates uniqueness or severity without acknowledging comparable issues in Labor's digital health governance.
2 2 . . ✅ ✅ * * * * 正确 zhèng què : : * * * * 报告 bào gào 漏洞 lòu dòng 不必要 bù bì yào 地 dì 困难 kùn nán , , 没有 méi yǒu 有效 yǒu xiào 流程 liú chéng [ [ 1 1 ] ] 3 3 . . ✅ ✅ * * * * 正确 zhèng què : : * * * * 响应 xiǎng yìng 缓慢 huǎn màn , , 仅 jǐn 在 zài 公开 gōng kāi 披露 pī lù 后 hòu 才 cái 加速 jiā sù [ [ 1 1 ] ] 4 4 . . ⚠ ⚠ ️ ️ * * * * 部分 bù fèn 正确 zhèng què : : * * * * 关于 guān yú " " 未 wèi 遵循 zūn xún 网络安全 wǎng luò ān quán 最佳 zuì jiā 实践 shí jiàn " " 的 de 主张 zhǔ zhāng 是 shì 有效 yǒu xiào 的 de , , 但 dàn 政府 zhèng fǔ 确实 què shí 在 zài 进行 jìn xíng 网络 wǎng luò 评估 píng gū 并 bìng 与 yǔ ASD ASD 合作 hé zuò ; ; 失败 shī bài specifically specifically 在于 zài yú 公开 gōng kāi 漏洞 lòu dòng 披露 pī lù 流程 liú chéng , , 而 ér 非 fēi 所有 suǒ yǒu 网络安全 wǎng luò ān quán 实践 shí jiàn [ [ 4 4 ] ] 5 5 . . ⚠ ⚠ ️ ️ * * * * 误导性 wù dǎo xìng 框架 kuāng jià : : * * * * 该 gāi 主张 zhǔ zhāng 暗示 àn shì 这是 zhè shì 联盟党 lián méng dǎng 时代 shí dài uniquely uniquely 恶劣 è liè 的 de 管理 guǎn lǐ 不善 bù shàn , , 这一 zhè yī 说法 shuō fǎ 没有 méi yǒu 得到 dé dào 充分 chōng fèn 支持 zhī chí 。 。 Labor Labor 政府 zhèng fǔ 数字 shù zì 健康 jiàn kāng 项目 xiàng mù ( ( My My Health Health Record Record ) ) 面临 miàn lín 类似 lèi sì 的 de 治理 zhì lǐ 和 hé 安全 ān quán 信任 xìn rèn 问题 wèn tí [ [ 10 10 , , 11 11 ] ] 6 6 . . ⚠ ⚠ ️ ️ * * * * 背景 bèi jǐng 缺失 quē shī : : * * * * 2021 2021 年 nián 疫情 yì qíng 期间 qī jiān , , 公共卫生 gōng gòng wèi shēng 基础设施 jī chǔ shè shī 的 de 快速 kuài sù 部署 bù shǔ 有时 yǒu shí 与 yǔ 安全 ān quán 成熟度 chéng shú dù 竞争 jìng zhēng ; ; 这 zhè 不能 bù néng 为 wèi 失败 shī bài 开脱 kāi tuō , , 但 dàn 提供 tí gōng 了 le 背景 bèi jǐng 裁决 cái jué 是 shì 核心 hé xīn 事实 shì shí 可靠 kě kào , , 批评 pī píng 合理 hé lǐ , , 但 dàn 框架 kuāng jià 在 zài 没有 méi yǒu 承认 chéng rèn Labor Labor 数字 shù zì 健康 jiàn kāng 治理 zhì lǐ 中 zhōng 类似 lèi sì 问题 wèn tí 的 de 情况 qíng kuàng 下 xià 夸大 kuā dà 了 le 独特性 dú tè xìng 或 huò 严重性 yán zhòng xìng 。 。 📚 来源与引用 (11)
-
1
The need for an Australian Government Vulnerability Disclosure Policy - Richard Nelson, Medium
Recently, I found a weakness in the Express Plus Medicare application’s COVID-19 digital certificate:
Medium -
2
COVID-19 vaccination certificates at risk of forgery after discovery of - ABC News
The federal government's COVID-19 vaccine certificate can be forged using a widely known technique to bypass the protections, a member of the public has found.
Abc Net -
3
Services Australia brushes off vulnerability concerns in COVID-19 digital certificates - ZDNet, Campbell Kwan
There are no vulnerability disclosure programs in place nor any future plans to implement such a thing for Australia's COVID-19 digital certificate.
ZDNET -
4
Vulnerability Disclosure Program - Department of Home Affairs
Home Affairs brings together Australia's federal law enforcement, national and transport security, criminal justice, emergency management, multicultural affairs, settlement services and immigration and border-related functions, working together to keep Australia safe.
Department of Home Affairs Website -
5
Service NSW Vulnerability Disclosure Program via Bugcrowd
Learn more about Service NSW’s Vulnerability Disclosure engagement powered by Bugcrowd, the leader in crowdsourced security solutions.
Bugcrowd -
6
Service NSW official page
Service NSW welcomes vulnerability reports that help us to provide safe and secure services to our customers.
Service NSW -
7
ZDNet Editorial Standards and contributor information
Discover ZDNET's editorial mission, how we evaluate products and our commitment to transparency about our business practices.
ZDNET -
8
Privacy concerns of the Australian My Health Record: Implications for patient autonomy and consent - Science Direct
Sciencedirect
-
9
My Health Record: privacy concern sparks calls from Labor to suspend rollout - Daily Telegraph
Dailytelegraph Com
-
10
Vulnerability Disclosure Programs explained - Cyber.gov.au
Cyber Gov
-
11
ASD Responsible Release Principles
Asd Gov
评分方法
1-3: 不实
事实错误或恶意捏造。
4-6: 部分属实
有一定真实性,但缺乏背景或有所偏颇。
7-9: 基本属实
仅有微小的技术性或措辞问题。
10: 准确
完全经过验证且客观公正。
方法论: 评分通过交叉参照政府官方记录、独立事实核查机构和原始文件确定。