C0161
声明内容
“选择忽视且不修复myGovID的安全漏洞,该漏洞之所以产生是因为所选的认证协议是定制的,不符合标准规范。”
原始来源: Matthew Davis
分析时间: 29 Jan 2026
原始来源
✅ 事实核查
### ### myGovID myGovID 安全漏洞 ān quán lòu dòng - - 代码 dài mǎ 重 zhòng 放 fàng 攻击 gōng jī
### myGovID Security Vulnerability - Code Replay Attack
该 gāi 陈述 chén shù 引用 yǐn yòng 了 le myGovID myGovID 中 zhōng 发现 fā xiàn 的 de 真实 zhēn shí 安全漏洞 ān quán lòu dòng 。 。 The claim references a real security vulnerability identified in myGovID.
2024 2024 年 nián 8 8 月 yuè , , 安全 ān quán 研究 yán jiū 人员 rén yuán Ben Ben Frengley Frengley ( ( 墨尔本大学 mò ěr běn dà xué ) ) 和 hé Vanessa Vanessa Teague Teague ( ( Thinking Thinking Cybersecurity Cybersecurity 首席 shǒu xí 执行官 zhí xíng guān , , 澳大利亚 ào dà lì yà 国立大学 guó lì dà xué 兼职 jiān zhí 教授 jiào shòu ) ) 发现 fā xiàn 了 le myGovID myGovID 认证 rèn zhèng 系统 xì tǒng 中 zhōng 的 de 关键 guān jiàn 漏洞 lòu dòng [ [ 1 1 ] ] 。 。 In August 2024, security researchers Ben Frengley (University of Melbourne) and Vanessa Teague (CEO of Thinking Cybersecurity, ANU adjunct professor) discovered a critical vulnerability in myGovID's authentication system [1].
该 gāi 漏洞 lòu dòng 是 shì 一种 yī zhǒng * * * * 代码 dài mǎ 重 zhòng 放 fàng 攻击 gōng jī * * * * , , 利用 lì yòng 了 le 一个 yí gè 根本性 gēn běn xìng 的 de 设计 shè jì 缺陷 quē xiàn 。 。 The vulnerability is a **code replay attack** that exploits a fundamental design flaw.
攻击者 gōng jī zhě 可以 kě yǐ 建立 jiàn lì 一个 yí gè 虚假 xū jiǎ 网站 wǎng zhàn 并 bìng 捕获 bǔ huò 用户 yòng hù 的 de 电子邮件 diàn zi yóu jiàn 地址 dì zhǐ 。 。 An attacker can set up a fake website and capture a user's email address.
当 dāng 攻击者 gōng jī zhě 使用 shǐ yòng 受害者 shòu hài zhě 的 de 电子邮件 diàn zi yóu jiàn 地址 dì zhǐ 在 zài 合法 hé fǎ 的 de 政府 zhèng fǔ 门户网站 mén hù wǎng zhàn 发起 fā qǐ 认证 rèn zhèng 时 shí , , 门户网站 mén hù wǎng zhàn 会 huì 显示 xiǎn shì 一个 yí gè 4 4 位数 wèi shù 的 de PIN PIN 码 mǎ 。 。 When the attacker initiates authentication at a legitimate government portal using the victim's email, the portal displays a 4-digit PIN.
攻击者 gōng jī zhě 通过 tōng guò 虚假 xū jiǎ 网站 wǎng zhàn 将 jiāng 此 cǐ PIN PIN 码 mǎ 传递 chuán dì 给 gěi 受害者 shòu hài zhě , , 当 dāng 受害者 shòu hài zhě 在 zài myGovID myGovID 应用程序 yìng yòng chéng xù 中 zhōng 输入 shū rù 时 shí , , 他们 tā men 在 zài 不知情 bù zhī qíng 的 de 情况 qíng kuàng 下 xià 授予 shòu yǔ 了 le 攻击者 gōng jī zhě 对 duì 其 qí 合法政府 hé fǎ zhèng fǔ 账户 zhàng hù 的 de 完全 wán quán 访问 fǎng wèn 权限 quán xiàn 。 。 The attacker relays this PIN to the victim through the fake site, and when the victim enters it into their myGovID app, they unknowingly grant the attacker full access to legitimate government accounts.
一个 yí gè 关键 guān jiàn 的 de 设计 shè jì 弱点 ruò diǎn 是 shì myGovID myGovID 应用程序 yìng yòng chéng xù * * * * 未 wèi 显示 xiǎn shì 请求 qǐng qiú 认证 rèn zhèng 的 de 是 shì 哪个 nǎ ge 组织 zǔ zhī * * * * [ [ 2 2 ] ] 。 。 A critical design weakness is that the myGovID app provides **no indication of which organization is requesting authentication** [2].
研究 yán jiū 人员 rén yuán 于 yú 2024 2024 年 nián 8 8 月 yuè 19 19 日向 rì xiàng 澳大利亚 ào dà lì yà 信号 xìn hào 局 jú ( ( ASD ASD ) ) 报告 bào gào 了 le 此 cǐ 漏洞 lòu dòng [ [ 3 3 ] ] 。 。 The researchers reported this vulnerability to the Australian Signals Directorate (ASD) on August 19, 2024 [3].
根据 gēn jù 行业 háng yè 最佳 zuì jiā 实践 shí jiàn , , 他们 tā men 提出 tí chū 了 le 90 90 天 tiān 的 de 负责 fù zé 任 rèn 披露 pī lù 期 qī , , 以便 yǐ biàn 政府 zhèng fǔ 有 yǒu 时间 shí jiān 在 zài 公开 gōng kāi 披露 pī lù 前 qián 开发 kāi fā 和 hé 实施 shí shī 修复 xiū fù 方案 fāng àn [ [ 1 1 ] ] 。 。 According to industry best practice, they proposed a 90-day responsible disclosure period to allow the government time to develop and implement a fix before public disclosure [1].
### ### 政府 zhèng fǔ 回应 huí yìng : : 拒绝 jù jué 修复 xiū fù ### Government's Response: Refusal to Fix
2024 2024 年 nián 9 9 月 yuè 18 18 日 rì , , 澳大利亚 ào dà lì yà 税务局 shuì wù jú ( ( ATO ATO ) ) 与 yǔ 研究 yán jiū 人员 rén yuán 会面 huì miàn , , 并 bìng 明确 míng què 表示 biǎo shì * * * * " " 不 bù 打算 dǎ suàn 更改 gēng gǎi 协议 xié yì " " * * * * [ [ 3 3 ] ] 。 。 On September 18, 2024, the Australian Taxation Office (ATO) met with the researchers and explicitly stated it **"did not intend to change the protocol"** [3].
这 zhè 意味着 yì wèi zhe 政府 zhèng fǔ 拒绝 jù jué 修复 xiū fù 该 gāi 漏洞 lòu dòng 。 。 This means the government declined to remediate the vulnerability.
此外 cǐ wài , , ATO ATO 将 jiāng 该 gāi 漏洞 lòu dòng 定性 dìng xìng 为 wèi " " 更 gèng 像是 xiàng shì 公众 gōng zhòng 意识 yì shí 问题 wèn tí " " , , 而 ér 非 fēi 需要 xū yào 更改 gēng gǎi 协议 xié yì 的 de 技术 jì shù 缺陷 quē xiàn [ [ 3 3 ] ] 。 。 Additionally, the ATO characterized the vulnerability as "more of a public awareness issue" rather than a technical flaw requiring protocol changes [3].
ATO ATO 还 hái 发表声明 fā biǎo shēng míng 称 chēng myGovID myGovID " " 比 bǐ 任何 rèn hé 凭证 píng zhèng 都 dōu 更 gèng 安全 ān quán " " , , 对 duì 研究 yán jiū 人员 rén yuán 的 de 担忧 dān yōu 不予 bù yǔ 理会 lǐ huì [ [ 4 4 ] ] 。 。 The ATO also issued statements claiming myGovID was "more secure than any credential," dismissing researcher concerns [4].
在 zài 政府 zhèng fǔ 拒绝 jù jué 修复 xiū fù 漏洞 lòu dòng 后 hòu , , 研究 yán jiū 人员 rén yuán 于 yú 2024 2024 年 nián 9 9 月 yuè 21 21 日 rì 公开 gōng kāi 披露 pī lù — — — — 尽管 jǐn guǎn 曾 céng 提议 tí yì 负责 fù zé 任 rèn 披露 pī lù 期 qī , , 但 dàn 仍 réng 公布 gōng bù 了 le 他们 tā men 的 de 发现 fā xiàn [ [ 2 2 ] ] 。 。 After the government refused to fix the vulnerability, the researchers went public on September 21, 2024 - publishing their findings despite having proposed a responsible disclosure period [2].
安全 ān quán 研究 yán jiū 人员 rén yuán 明确 míng què 警告 jǐng gào 公众 gōng zhòng 在 zài 登录 dēng lù 漏洞 lòu dòng 修复 xiū fù 之前 zhī qián 不要 bú yào 使用 shǐ yòng myGovID myGovID [ [ 1 1 ] ] 。 。 The security researchers explicitly warned the public not to use myGovID until the login flaw was fixed [1].
### ### 监察 jiān chá 专员 zhuān yuán 的 de 支持 zhī chí 证据 zhèng jù ### Supporting Evidence from Ombudsman
2024 2024 年 nián 8 8 月 yuè , , 澳大利亚 ào dà lì yà 监察 jiān chá 专员 zhuān yuán 发布 fā bù 了 le 《 《 保障 bǎo zhàng myGov myGov 安全 ān quán 》 》 报告 bào gào , , 其中 qí zhōng 指出 zhǐ chū 了 le myGov myGov / / myGovID myGovID 系统 xì tǒng 中 zhōng 的 de 多项 duō xiàng 安全 ān quán 缺陷 quē xiàn , , 包括 bāo kuò 身份验证 shēn fèn yàn zhèng 标准 biāo zhǔn 不 bù 一致 yí zhì 、 、 对 duì 未 wèi 授权 shòu quán 账户 zhàng hù 关联 guān lián 的 de 安全控制 ān quán kòng zhì 有限 yǒu xiàn , , 以及 yǐ jí 诈骗者 zhà piàn zhě 重定向 zhòng dìng xiàng 养老金 yǎng lǎo jīn 支付 zhī fù 和 hé 提交 tí jiāo 虚假 xū jiǎ 福利 fú lì 申请 shēn qǐng 的 de 实例 shí lì [ [ 5 5 ] ] 。 。 In August 2024, the Australian Ombudsman published the "Keeping myGov Secure" report, which identified multiple security deficiencies in myGov/myGovID systems, including inconsistent proof-of-identity standards, limited security controls for unauthorized account linking, and instances of fraudsters redirecting pension payments and submitting false benefit claims [5].
澳大利亚 ào dà lì yà 服务部 fú wù bù 于 yú 2024 2024 年 nián 7 7 月 yuè 下旬 xià xún 同意 tóng yì 了 le 这些 zhè xiē 建议 jiàn yì , , 但 dàn 将 jiāng 实施 shí shī 推迟 tuī chí 到 dào 2025 2025 年初 nián chū , , 表明 biǎo míng 对 duì 紧急 jǐn jí 安全 ān quán 问题 wèn tí 未 wèi 立即 lì jí 采取行动 cǎi qǔ xíng dòng [ [ 5 5 ] ] 。 。 Services Australia agreed to these recommendations in late July 2024 but deferred implementation to early 2025, indicating no immediate action was taken on urgent security matters [5].
缺失背景
### ### 1 1 . . " " 定制 dìng zhì " " 认证 rèn zhèng 协议 xié yì 属实 shǔ shí
### 1. The "Bespoke" Authentication Protocol is Accurate
该 gāi 陈述 chén shù 准确 zhǔn què 地 dì 将 jiāng myGovID myGovID 的 de 认证 rèn zhèng 协议 xié yì 描述 miáo shù 为 wèi 非 fēi 标准协议 biāo zhǔn xié yì 。 。 The claim accurately characterizes myGovID's authentication protocol as non-standard. myGovID uses the **Trusted Digital Identity Framework (TDIF)**, which is a proprietary, bespoke system specific to Australia - not OpenID Connect, OAuth 2.0, or other internationally recognized standards [6].
myGovID myGovID 使用 shǐ yòng * * * * 可信 kě xìn 数字 shù zì 身份 shēn fèn 框架 kuāng jià ( ( TDIF TDIF ) ) * * * * , , 这是 zhè shì 一个 yí gè 专有 zhuān yǒu 的 de 、 、 定制 dìng zhì 的 de 系统 xì tǒng , , 仅 jǐn 在 zài 澳大利亚 ào dà lì yà 使用 shǐ yòng — — — — 而 ér 非 fēi OpenID OpenID Connect Connect 、 、 OAuth OAuth 2.0 2.0 或 huò 其他 qí tā 国际 guó jì 认可 rèn kě 的 de 标准 biāo zhǔn [ [ 6 6 ] ] 。 。 Security researchers have recommended that the TDIF framework be deprecated and replaced with standard protocols like OpenID Connect [2].
安全 ān quán 研究 yán jiū 人员 rén yuán 建议 jiàn yì 应弃 yīng qì 用 yòng TDIF TDIF 框架 kuāng jià , , 改用 gǎi yòng OpenID OpenID Connect Connect 等 děng 标准协议 biāo zhǔn xié yì [ [ 2 2 ] ] 。 。 ### 2. Protocol Design vs. Implementation Issues
### ### 2 2 . . 协议 xié yì 设计 shè jì 问题 wèn tí vs vs 实施 shí shī 问题 wèn tí While the vulnerability exists, there is a technical distinction worth noting: the fundamental flaw appears to stem from the protocol's design (the lack of context about who is requesting authentication in the myGovID app), not necessarily implementation errors.
虽然 suī rán 漏洞 lòu dòng 确实 què shí 存在 cún zài , , 但 dàn 有 yǒu 一个 yí gè 技术 jì shù 区别 qū bié 值得注意 zhí de zhù yì : : 根本性 gēn běn xìng 缺陷 quē xiàn 似乎 sì hū 源于 yuán yú 协议 xié yì 设计 shè jì ( ( myGovID myGovID 应用程序 yìng yòng chéng xù 缺乏 quē fá 关于 guān yú 谁 shuí 在 zài 请求 qǐng qiú 认证 rèn zhèng 的 de 上下文 shàng xià wén 信息 xìn xī ) ) , , 而 ér 非 fēi 必然 bì rán 的 de 实施 shí shī 错误 cuò wù 。 。 However, this distinction does not diminish the validity of the claim - a flawed protocol design is still a flaw that requires fixing.
然而 rán ér , , 这一 zhè yī 区别 qū bié 并 bìng 不 bù 削弱 xuē ruò 该 gāi 陈述 chén shù 的 de 有效性 yǒu xiào xìng — — — — 存在 cún zài 缺陷 quē xiàn 的 de 协议 xié yì 设计 shè jì 仍然 réng rán 是 shì 缺陷 quē xiàn , , 需要 xū yào 修复 xiū fù 。 。 ### 3. Timeline and Context
### ### 3 3 . . 时间 shí jiān 线 xiàn 和 hé 背景 bèi jǐng The vulnerability discovery occurred late in the Coalition government's tenure.
漏洞 lòu dòng 发现 fā xiàn 于 yú Coalition Coalition 政府 zhèng fǔ 任期 rèn qī 即将 jí jiāng 结束 jié shù 时 shí 。 。 The Coalition was voted out of office in May 2022.
Coalition Coalition 于 yú 2022 2022 年 nián 5 5 月 yuè 落选 luò xuǎn 。 。 The vulnerability was discovered in August 2024 by the Albanese Labor government.
该 gāi 漏洞 lòu dòng 于 yú 2024 2024 年 nián 8 8 月 yuè 由 yóu Albanese Albanese Labor Labor 政府 zhèng fǔ 执政 zhí zhèng 期间 qī jiān 被 bèi 发现 fā xiàn 。 。 This means:
- The Coalition government (2013-2022) would not have made the September 2024 decision to refuse remediation
- The current (Labor) government inherited myGovID and made the decision not to change the protocol [3]
However, the claim may be referring to the Coalition government's original decision to develop and deploy myGovID using a bespoke, non-standard protocol rather than established industry standards - which would have been a decision made during the Coalition's time in office (2013-2022).
这 zhè 意味着 yì wèi zhe : : - - Coalition Coalition 政府 zhèng fǔ ( ( 2013 2013 - - 2022 2022 ) ) 不会 bú huì 在 zài 2024 2024 年 nián 9 9 月 yuè 做出 zuò chū 拒绝 jù jué 修复 xiū fù 的 de 决定 jué dìng - - 现任 xiàn rèn ( ( Labor Labor ) ) 政府 zhèng fǔ 继承 jì chéng 了 le myGovID myGovID , , 并 bìng 决定 jué dìng 不 bù 更改 gēng gǎi 协议 xié yì [ [ 3 3 ] ] 然而 rán ér , , 该 gāi 陈述 chén shù 可能 kě néng 指 zhǐ 的 de 是 shì Coalition Coalition 政府 zhèng fǔ 最初 zuì chū 决定 jué dìng 使用 shǐ yòng 定制 dìng zhì 的 de 非 fēi 标准协议 biāo zhǔn xié yì 而 ér 非 fēi 既定 jì dìng 行业标准 háng yè biāo zhǔn 开发 kāi fā 和 hé 部署 bù shǔ myGovID myGovID — — — — 这是 zhè shì Coalition Coalition 执政 zhí zhèng 期间 qī jiān ( ( 2013 2013 - - 2022 2022 ) ) 做出 zuò chū 的 de 决定 jué dìng 。 。 来源可信度评估
### ### 原始 yuán shǐ 来源 lái yuán : : Thinking Thinking Cybersecurity Cybersecurity
### Original Source: Thinking Cybersecurity
提供 tí gōng 的 de 原始 yuán shǐ 来源 lái yuán ( ( Thinking Thinking Cybersecurity Cybersecurity ) ) 是 shì 由 yóu Vanessa Vanessa Teague Teague 领导 lǐng dǎo 的 de 组织 zǔ zhī , , 她 tā 是 shì 发现 fā xiàn 该 gāi 漏洞 lòu dòng 的 de 研究 yán jiū 人员 rén yuán 之一 zhī yī 。 。 The original source provided (Thinking Cybersecurity) is an organization led by Vanessa Teague, one of the researchers who discovered the vulnerability.
这 zhè 形成 xíng chéng 了 le 关于 guān yú 漏洞 lòu dòng 本身 běn shēn 的 de 直接 zhí jiē 来源 lái yuán 。 。 This creates a direct source on the vulnerability itself.
Vanessa Vanessa Teague Teague 是 shì : : Vanessa Teague is:
- An ANU adjunct professor and security researcher
- A credible academic voice in cybersecurity
- Has published peer-reviewed work on electoral security and digital systems [7]
However, as one of the researchers reporting on their own finding, there is inherent bias in favor of emphasizing the vulnerability's severity.
- - 澳大利亚 ào dà lì yà 国立大学 guó lì dà xué 兼职 jiān zhí 教授 jiào shòu 和 hé 安全 ān quán 研究 yán jiū 人员 rén yuán ### Primary Sources on This Issue
- - 网络安全 wǎng luò ān quán 领域 lǐng yù 可信 kě xìn 的 de 学术 xué shù 声音 shēng yīn The most reliable sources are:
- **Technology news outlets** (iTnews, InnovationAus): Mainstream Australian tech journalism covering the vulnerability discovery and government response [1][3]
- **Government sources** (Ombudsman report, ATO statements): Official documentation of security concerns and government positions [4][5]
- **Security research** (Thinking Cybersecurity, researchers' technical documentation): Academic and professional security analysis [2]
The claim is well-supported by mainstream technology journalism and government reports, not primarily dependent on a single partisan source.
- - 发表 fā biǎo 过 guò 关于 guān yú 选举 xuǎn jǔ 安全 ān quán 和 hé 数字 shù zì 系统 xì tǒng 的 de 同行 tóng háng 评审 píng shěn 研究 yán jiū [ [ 7 7 ] ] 然而 rán ér , , 作为 zuò wéi 报告 bào gào 自己 zì jǐ 发现 fā xiàn 的 de 研究 yán jiū 人员 rén yuán 之一 zhī yī , , 存在 cún zài 强调 qiáng diào 漏洞 lòu dòng 严重性 yán zhòng xìng 的 de 固有 gù yǒu 偏见 piān jiàn 。 。 ### ### 该 gāi 问题 wèn tí 的 de 主要 zhǔ yào 信息 xìn xī 来源 lái yuán 最 zuì 可靠 kě kào 的 de 来源 lái yuán 包括 bāo kuò : : - - * * * * 科技 kē jì 新闻媒体 xīn wén méi tǐ * * * * ( ( iTnews iTnews 、 、 InnovationAus InnovationAus ) ) : : 报道 bào dào 漏洞 lòu dòng 发现 fā xiàn 和 hé 政府 zhèng fǔ 回应 huí yìng 的 de 澳大利亚 ào dà lì yà 主流 zhǔ liú 科技 kē jì 新闻 xīn wén [ [ 1 1 ] ] [ [ 3 3 ] ] - - * * * * 政府 zhèng fǔ 来源 lái yuán * * * * ( ( 监察 jiān chá 专员 zhuān yuán 报告 bào gào 、 、 ATO ATO 声明 shēng míng ) ) : : 关于 guān yú 安全 ān quán 担忧 dān yōu 和 hé 政府 zhèng fǔ 立场 lì chǎng 的 de 官方 guān fāng 文件 wén jiàn [ [ 4 4 ] ] [ [ 5 5 ] ] - - * * * * 安全 ān quán 研究 yán jiū * * * * ( ( Thinking Thinking Cybersecurity Cybersecurity 、 、 研究 yán jiū 人员 rén yuán 的 de 技术 jì shù 文档 wén dàng ) ) : : 学术 xué shù 和 hé 专业 zhuān yè 安全 ān quán 分析 fēn xī [ [ 2 2 ] ] 该 gāi 陈述 chén shù 有 yǒu 主流 zhǔ liú 科技 kē jì 新闻 xīn wén 和 hé 政府 zhèng fǔ 报告 bào gào 的 de 良好 liáng hǎo 支持 zhī chí , , 不 bù 完全 wán quán 依赖于 yī lài yú 单一 dān yī 党派 dǎng pài 来源 lái yuán 。 。 ⚖️
工党对比
### ### Labor Labor 是否 shì fǒu 采用 cǎi yòng 了 le 类似 lèi sì 的 de 定制 dìng zhì 认证 rèn zhèng 方法 fāng fǎ ? ?
### Did Labor Adopt Similar Bespoke Authentication Approaches?
Labor Labor 在 zài myGovID myGovID 开发 kāi fā 期间 qī jiān 并未 bìng wèi 执政 zhí zhèng ( ( Coalition Coalition 执政 zhí zhèng 期为 qī wèi 2013 2013 - - 2022 2022 ) ) 。 。 Labor was not in government when myGovID was developed (Coalition governed 2013-2022).
Labor Labor 政府 zhèng fǔ 于 yú 2022 2022 年 nián 5 5 月 yuè 上任 shàng rèn 时 shí 继承 jì chéng 了 le myGovID myGovID 系统 xì tǒng 。 。 The Labor government inherited the myGovID system when they took office in May 2022.
**However**, the more relevant comparison is: **How did Labor respond to the discovered vulnerability?**
As noted above, the decision to "not intend to change the protocol" in September 2024 was made by the **Labor government's ATO**, not the Coalition.
* * * * 然而 rán ér * * * * , , 更 gèng 相关 xiāng guān 的 de 比较 bǐ jiào 是 shì : : * * * * Labor Labor 如何 rú hé 应对 yìng duì 发现 fā xiàn 的 de 漏洞 lòu dòng ? ? This indicates both governments (Coalition for original development, Labor for response to the discovered vulnerability) made questionable cybersecurity decisions regarding myGovID.
* * * * ### Labor's Approach to Digital Identity
如上所述 rú shàng suǒ shù , , 2024 2024 年 nián 9 9 月 yuè " " 不 bù 打算 dǎ suàn 更改 gēng gǎi 协议 xié yì " " 的 de 决定 jué dìng 是 shì 由 yóu * * * * Labor Labor 政府 zhèng fǔ 的 de ATO ATO * * * * 做出 zuò chū 的 de , , 而 ér 非 fēi Coalition Coalition 。 。 Labor has pursued continued development of myGovID (rebranded as "myID" in November 2024) under a digital identity scheme.
这 zhè 表明 biǎo míng 两届 liǎng jiè 政府 zhèng fǔ ( ( Coalition Coalition 负责 fù zé 原始 yuán shǐ 开发 kāi fā , , Labor Labor 负责 fù zé 应对 yìng duì 发现 fā xiàn 的 de 漏洞 lòu dòng ) ) 在 zài myGovID myGovID 网络安全 wǎng luò ān quán 方面 fāng miàn 都 dōu 存在 cún zài 令人 lìng rén 质疑 zhì yí 的 de 决策 jué cè 。 。 Labor has not abandoned the bespoke TDIF framework but instead continued operating within it [8].
### ### Labor Labor 的 de 数字 shù zì 身份 shēn fèn 方法 fāng fǎ This suggests Labor may bear some responsibility for not addressing the architectural vulnerability once it was discovered under their watch.
Labor Labor 在 zài 数字 shù zì 身份 shēn fèn 计划 jì huà 下 xià 继续 jì xù 开发 kāi fā myGovID myGovID ( ( 于 yú 2024 2024 年 nián 11 11 月 yuè 重新命名 chóng xīn mìng míng 为 wèi " " myID myID " " ) ) 。 。 Labor Labor 并未 bìng wèi 放弃 fàng qì 定制 dìng zhì 的 de TDIF TDIF 框架 kuāng jià , , 而是 ér shì 继续 jì xù 在 zài 其 qí 框架 kuāng jià 内 nèi 运行 yùn xíng [ [ 8 8 ] ] 。 。 这 zhè 表明 biǎo míng Labor Labor 可能 kě néng 对 duì 发现 fā xiàn 的 de 架构 jià gòu 漏洞 lòu dòng 承担 chéng dān 一定 yí dìng 责任 zé rèn , , 因为 yīn wèi 该 gāi 漏洞 lòu dòng 是 shì 在 zài 他们 tā men 执政 zhí zhèng 期间 qī jiān 被 bèi 发现 fā xiàn 的 de 。 。 * * * * 来源 lái yuán : : * * * * - - [ [ 6 6 ] ] https https : : / / / / architecture architecture . . digital digital . . gov gov . . au au / / mygovid mygovid - - [ [ 8 8 ] ] https https : : / / / / www www . . ato ato . . gov gov . . au au / / general general / / online online - - services services / / myid myid 🌐
平衡视角
### ### Coalition Coalition 的 de 设计 shè jì 决策 jué cè ( ( 2013 2013 - - 2022 2022 ) )
### The Coalition's Design Decision (2013-2022)
当 dāng Coalition Coalition 政府 zhèng fǔ 决定 jué dìng 使用 shǐ yòng 专有 zhuān yǒu 的 de 定制 dìng zhì 认证 rèn zhèng 协议 xié yì ( ( TDIF TDIF ) ) 而 ér 非 fēi 采用 cǎi yòng 国际 guó jì 认可 rèn kě 的 de 标准协议 biāo zhǔn xié yì 如 rú OpenID OpenID Connect Connect 来 lái 开发 kāi fā myGovID myGovID 时 shí , , 这 zhè 代表 dài biǎo 了 le 一个 yí gè 值得 zhí de 质疑 zhì yí 的 de 架构 jià gòu 决策 jué cè 。 。 When the Coalition government decided to develop myGovID using a proprietary, bespoke authentication protocol (TDIF) rather than adopting internationally standard protocols like OpenID Connect, this represented a questionable architectural decision.
做出 zuò chū 这一 zhè yī 选择 xuǎn zé 的 de 可能 kě néng 原因 yuán yīn 包括 bāo kuò : : The reasons for this choice were likely:
- Desire for a uniquely Australian solution tailored to specific government needs
- Potential national sovereignty concerns (not relying on international standards)
- Perceived control over the system's security and operations
However, security experts argue that bespoke authentication systems are inherently riskier because they:
- Have limited external security review compared to widely-used standards
- Don't benefit from years of community vulnerability discovery and patching
- Increase the chance of design flaws like the one discovered in 2024 [2]
**Standard security practice is to use proven, widely-audited protocols unless there is a compelling reason not to.**
- - 希望 xī wàng 获得 huò dé 针对 zhēn duì 特定 tè dìng 政府 zhèng fǔ 需求量 xū qiú liàng 身 shēn 定制 dìng zhì 的 de 独特 dú tè 澳大利亚 ào dà lì yà 解决方案 jiě jué fāng àn ### The Government's Response to the Discovered Vulnerability
- - 潜在 qián zài 的 de 国家主权 guó jiā zhǔ quán 担忧 dān yōu ( ( 不 bù 依赖 yī lài 国际标准 guó jì biāo zhǔn ) ) More problematic than the original design choice was the response when the vulnerability was discovered:
**During Coalition government (2013-2022):**
- The Coalition would have deployed and operated myGovID but the vulnerability wasn't discovered until 2024 (after their loss of office)
**During Labor government (September 2024 onward):**
- The ATO explicitly refused to fix the known vulnerability, stating they "did not intend to change the protocol"
- The government dismissed it as a "public awareness issue" rather than a technical design flaw
- No remediation timeline or plan was announced
- The system continued to operate with the known vulnerability
- - 对 duì 系统安全 xì tǒng ān quán 和 hé 运营 yùn yíng 的 de 感知 gǎn zhī 控制 kòng zhì ### Expert and Institutional Perspectives
然而 rán ér , , 安全 ān quán 专家 zhuān jiā 认为 rèn wéi , , 定制 dìng zhì 认证 rèn zhèng 系统 xì tǒng 本质 běn zhì 上 shàng 风险 fēng xiǎn 更高 gèng gāo , , 因为 yīn wèi : : The Ombudsman's report reinforces that myGov/myGovID security is inadequate, with the government only agreeing to address deficiencies in 2025 [5].
- - 与 yǔ 广泛 guǎng fàn 使用 shǐ yòng 的 de 标准 biāo zhǔn 相比 xiāng bǐ , , 外部 wài bù 安全 ān quán 审查 shěn chá 有限 yǒu xiàn The timing suggests this was reactive rather than proactive security governance.
- - 无法 wú fǎ 受益 shòu yì 于 yú 多年 duō nián 社区 shè qū 漏洞 lòu dòng 发现 fā xiàn 和 hé 修补 xiū bǔ 的 de 成果 chéng guǒ ### Comparative Government Practice
- - 增加 zēng jiā 了 le 设计 shè jì 缺陷 quē xiàn 的 de 可能性 kě néng xìng , , 如 rú 2024 2024 年 nián 发现 fā xiàn 的 de 缺陷 quē xiàn [ [ 2 2 ] ] Ignoring known security vulnerabilities in authentication systems is not standard practice across responsible governments.
* * * * 标准 biāo zhǔn 安全 ān quán 实践 shí jiàn 是 shì 使用 shǐ yòng 经过 jīng guò 验证 yàn zhèng 的 de 、 、 广泛 guǎng fàn 审计 shěn jì 的 de 协议 xié yì , , 除非 chú fēi 有 yǒu 令人信服 lìng rén xìn fú 的 de 理由 lǐ yóu 不 bù 这样 zhè yàng 做 zuò 。 。 The standard industry approach is:
1.
* * * * Acknowledge the vulnerability
2.
### ### 政府 zhèng fǔ 对 duì 发现 fā xiàn 漏洞 lòu dòng 的 de 回应 huí yìng Develop a remediation plan
3.
比 bǐ 原始 yuán shǐ 设计 shè jì 选择 xuǎn zé 更 gèng 令人担忧 lìng rén dān yōu 的 de 是 shì 发现 fā xiàn 漏洞 lòu dòng 后 hòu 的 de 回应 huí yìng : : Implement the fix within a reasonable timeframe
4.
* * * * Coalition Coalition 政府 zhèng fǔ 期间 qī jiān ( ( 2013 2013 - - 2022 2022 ) ) : : * * * * Publicly communicate the resolution
The Australian government's response (refusing to fix the protocol design flaw) falls short of these standards.
**Key context:** Neither the Coalition nor Labor has demonstrated strong cybersecurity governance regarding myGovID.
- - Coalition Coalition 部署 bù shǔ 和 hé 运营 yùn yíng 了 le myGovID myGovID , , 但 dàn 直到 zhí dào 2024 2024 年 nián ( ( 他们 tā men 败选后 bài xuǎn hòu ) ) 才 cái 被 bèi 发现 fā xiàn 该 gāi 漏洞 lòu dòng The Coalition created a system using non-standard protocols, and Labor (which inherited it) refused to fix it when vulnerabilities were discovered.
* * * * Labor Labor 政府 zhèng fǔ 期间 qī jiān ( ( 2024 2024 年 nián 9 9 月 yuè 起 qǐ ) ) : : * * * * Both decisions appear driven by bureaucratic inertia and unwillingness to acknowledge systemic architectural failures.
- - ATO ATO 明确 míng què 拒绝 jù jué 修复 xiū fù 已知 yǐ zhī 的 de 漏洞 lòu dòng , , 声明 shēng míng 他们 tā men " " 不 bù 打算 dǎ suàn 更改 gēng gǎi 协议 xié yì " " - - 政府 zhèng fǔ 将 jiāng 其 qí 视为 shì wèi " " 公众 gōng zhòng 意识 yì shí 问题 wèn tí " " 而 ér 非技术 fēi jì shù 设计 shè jì 缺陷 quē xiàn - - 未 wèi 宣布 xuān bù 修复 xiū fù 时间表 shí jiān biǎo 或 huò 计划 jì huà - - 系统 xì tǒng 在 zài 已知 yǐ zhī 漏洞 lòu dòng 存在 cún zài 的 de 情况 qíng kuàng 下 xià 继续 jì xù 运行 yùn xíng ### ### 专家 zhuān jiā 和 hé 机构 jī gòu 观点 guān diǎn 监察 jiān chá 专员 zhuān yuán 的 de 报告 bào gào 进一步 jìn yí bù 证实 zhèng shí myGov myGov / / myGovID myGovID 安全 ān quán 不足 bù zú , , 政府 zhèng fǔ 仅 jǐn 同意 tóng yì 在 zài 2025 2025 年 nián 解决 jiě jué 缺陷 quē xiàn [ [ 5 5 ] ] 。 。 时间 shí jiān 安排 ān pái 表明 biǎo míng 这是 zhè shì 被动 bèi dòng 的 de 而 ér 非 fēi 主动 zhǔ dòng 的 de 安全 ān quán 治理 zhì lǐ 。 。 ### ### 比较 bǐ jiào 政府 zhèng fǔ 实践 shí jiàn 忽视 hū shì 认证 rèn zhèng 系统 xì tǒng 中 zhōng 的 de 已知 yǐ zhī 安全漏洞 ān quán lòu dòng 并非 bìng fēi 负责 fù zé 任 rèn 政府 zhèng fǔ 的 de 标准 biāo zhǔn 做法 zuò fǎ 。 。 标准 biāo zhǔn 行业 háng yè 做法 zuò fǎ 是 shì : : 1 1 . . 承认 chéng rèn 漏洞 lòu dòng 2 2 . . 制定 zhì dìng 修复 xiū fù 计划 jì huà 3 3 . . 在 zài 合理 hé lǐ 时间 shí jiān 内 nèi 实施 shí shī 修复 xiū fù 4 4 . . 公开 gōng kāi 沟通 gōu tōng 解决方案 jiě jué fāng àn 澳大利亚政府 ào dà lì yà zhèng fǔ 的 de 回应 huí yìng ( ( 拒绝 jù jué 修复 xiū fù 协议 xié yì 设计 shè jì 缺陷 quē xiàn ) ) 未 wèi 达到 dá dào 这些 zhè xiē 标准 biāo zhǔn 。 。 * * * * 关键 guān jiàn 背景 bèi jǐng : : * * * * Coalition Coalition 和 hé Labor Labor 在 zài myGovID myGovID 网络安全 wǎng luò ān quán 治理 zhì lǐ 方面 fāng miàn 都 dōu 表现 biǎo xiàn 不佳 bù jiā 。 。 Coalition Coalition 创建 chuàng jiàn 了 le 使用 shǐ yòng 非 fēi 标准协议 biāo zhǔn xié yì 的 de 系统 xì tǒng , , Labor Labor ( ( 继承 jì chéng 该 gāi 系统 xì tǒng ) ) 在 zài 发现 fā xiàn 漏洞 lòu dòng 时 shí 拒绝 jù jué 修复 xiū fù 。 。 两次 liǎng cì 决策 jué cè 似乎 sì hū 都 dōu 是 shì 由 yóu 官僚 guān liáo 惯性 guàn xìng 和 hé 不愿 bù yuàn 承认 chéng rèn 系统性 xì tǒng xìng 架构 jià gòu 失败 shī bài 所 suǒ 驱动 qū dòng 。 。 属实
7.0
/ 10
该 gāi 陈述 chén shù 关于 guān yú myGovID myGovID 漏洞 lòu dòng 和 hé 政府 zhèng fǔ 拒绝 jù jué 修复 xiū fù 的 de 事实 shì shí 是 shì 准确 zhǔn què 的 de 。 。
The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.
然而 rán ér , , 有 yǒu 一个 yí gè 重要 zhòng yào 的 de * * * * 时间 shí jiān 澄清 chéng qīng * * * * : : 拒绝 jù jué 修复 xiū fù 的 de 决定 jué dìng 是 shì 由 yóu * * * * 2024 2024 年 nián 9 9 月 yuè 的 de Labor Labor 政府 zhèng fǔ * * * * 做出 zuò chū 的 de , , 而 ér 非 fēi Coalition Coalition 政府 zhèng fǔ 。 。 However, there is an important **temporal clarification**: The decision to refuse remediation was made by the **Labor government in September 2024**, not the Coalition government.
Coalition Coalition ( ( 2013 2013 - - 2022 2022 ) ) 做出 zuò chū 了 le 使用 shǐ yòng 定制 dìng zhì 非 fēi 标准协议 biāo zhǔn xié yì 的 de 原始 yuán shǐ 决定 jué dìng , , 这是 zhè shì 导致 dǎo zhì 该 gāi 漏洞 lòu dòng 的 de 架构 jià gòu 选择 xuǎn zé 。 。 The Coalition (2013-2022) made the original decision to use a bespoke, non-standard protocol, which was the architectural choice that enabled this vulnerability.
该 gāi 陈述 chén shù 可以 kě yǐ 有 yǒu 两种 liǎng zhǒng 理解 lǐ jiě 方式 fāng shì : : The claim could be interpreted two ways:
1. **If referring to original protocol design (Coalition era 2013-2022):** TRUE - The Coalition chose a bespoke protocol over proven standards
2. **If referring to the 2024 refusal to fix the discovered vulnerability:** TRUE but made by Labor government, not Coalition
The statement "Chose to ignore and not fix" most naturally reads as referring to the refusal to remediate after discovery (September 2024), which was a Labor government decision, though the underlying architectural choice was made by the Coalition.
1 1 . . * * * * 如果 rú guǒ 指 zhǐ 的 de 是 shì 原始 yuán shǐ 协议 xié yì 设计 shè jì ( ( Coalition Coalition 时代 shí dài 2013 2013 - - 2022 2022 ) ) : : * * * * 属实 shǔ shí — — — — Coalition Coalition 选择 xuǎn zé 了 le 定制 dìng zhì 协议 xié yì 而 ér 非 fēi 经过 jīng guò 验证 yàn zhèng 的 de 标准 biāo zhǔn 2 2 . . * * * * 如果 rú guǒ 指 zhǐ 的 de 是 shì 2024 2024 年 nián 拒绝 jù jué 修复 xiū fù 已 yǐ 发现 fā xiàn 漏洞 lòu dòng : : * * * * 属实 shǔ shí , , 但是 dàn shì 由 yóu Labor Labor 政府 zhèng fǔ 做出 zuò chū , , 而 ér 非 fēi Coalition Coalition " " 选择 xuǎn zé 忽视 hū shì 且 qiě 不 bù 修复 xiū fù " " 这一 zhè yī 表述 biǎo shù 最 zuì 自然 zì rán 地 dì 理解 lǐ jiě 为 wèi 指 zhǐ 发现 fā xiàn 后 hòu 的 de 拒绝 jù jué 修复 xiū fù ( ( 2024 2024 年 nián 9 9 月 yuè ) ) , , 这是 zhè shì Labor Labor 政府 zhèng fǔ 的 de 决定 jué dìng , , 尽管 jǐn guǎn 底层 dǐ céng 架构 jià gòu 选择 xuǎn zé 是 shì 由 yóu Coalition Coalition 做出 zuò chū 的 de 。 。 最终评分
7.0
/ 10
属实
该 gāi 陈述 chén shù 关于 guān yú myGovID myGovID 漏洞 lòu dòng 和 hé 政府 zhèng fǔ 拒绝 jù jué 修复 xiū fù 的 de 事实 shì shí 是 shì 准确 zhǔn què 的 de 。 。
The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.
然而 rán ér , , 有 yǒu 一个 yí gè 重要 zhòng yào 的 de * * * * 时间 shí jiān 澄清 chéng qīng * * * * : : 拒绝 jù jué 修复 xiū fù 的 de 决定 jué dìng 是 shì 由 yóu * * * * 2024 2024 年 nián 9 9 月 yuè 的 de Labor Labor 政府 zhèng fǔ * * * * 做出 zuò chū 的 de , , 而 ér 非 fēi Coalition Coalition 政府 zhèng fǔ 。 。 However, there is an important **temporal clarification**: The decision to refuse remediation was made by the **Labor government in September 2024**, not the Coalition government.
Coalition Coalition ( ( 2013 2013 - - 2022 2022 ) ) 做出 zuò chū 了 le 使用 shǐ yòng 定制 dìng zhì 非 fēi 标准协议 biāo zhǔn xié yì 的 de 原始 yuán shǐ 决定 jué dìng , , 这是 zhè shì 导致 dǎo zhì 该 gāi 漏洞 lòu dòng 的 de 架构 jià gòu 选择 xuǎn zé 。 。 The Coalition (2013-2022) made the original decision to use a bespoke, non-standard protocol, which was the architectural choice that enabled this vulnerability.
该 gāi 陈述 chén shù 可以 kě yǐ 有 yǒu 两种 liǎng zhǒng 理解 lǐ jiě 方式 fāng shì : : The claim could be interpreted two ways:
1. **If referring to original protocol design (Coalition era 2013-2022):** TRUE - The Coalition chose a bespoke protocol over proven standards
2. **If referring to the 2024 refusal to fix the discovered vulnerability:** TRUE but made by Labor government, not Coalition
The statement "Chose to ignore and not fix" most naturally reads as referring to the refusal to remediate after discovery (September 2024), which was a Labor government decision, though the underlying architectural choice was made by the Coalition.
1 1 . . * * * * 如果 rú guǒ 指 zhǐ 的 de 是 shì 原始 yuán shǐ 协议 xié yì 设计 shè jì ( ( Coalition Coalition 时代 shí dài 2013 2013 - - 2022 2022 ) ) : : * * * * 属实 shǔ shí — — — — Coalition Coalition 选择 xuǎn zé 了 le 定制 dìng zhì 协议 xié yì 而 ér 非 fēi 经过 jīng guò 验证 yàn zhèng 的 de 标准 biāo zhǔn 2 2 . . * * * * 如果 rú guǒ 指 zhǐ 的 de 是 shì 2024 2024 年 nián 拒绝 jù jué 修复 xiū fù 已 yǐ 发现 fā xiàn 漏洞 lòu dòng : : * * * * 属实 shǔ shí , , 但是 dàn shì 由 yóu Labor Labor 政府 zhèng fǔ 做出 zuò chū , , 而 ér 非 fēi Coalition Coalition " " 选择 xuǎn zé 忽视 hū shì 且 qiě 不 bù 修复 xiū fù " " 这一 zhè yī 表述 biǎo shù 最 zuì 自然 zì rán 地 dì 理解 lǐ jiě 为 wèi 指 zhǐ 发现 fā xiàn 后 hòu 的 de 拒绝 jù jué 修复 xiū fù ( ( 2024 2024 年 nián 9 9 月 yuè ) ) , , 这是 zhè shì Labor Labor 政府 zhèng fǔ 的 de 决定 jué dìng , , 尽管 jǐn guǎn 底层 dǐ céng 架构 jià gòu 选择 xuǎn zé 是 shì 由 yóu Coalition Coalition 做出 zuò chū 的 de 。 。 📚 来源与引用 (8)
-
1
itnews.com.au
ATO declines to change protocol.
iTnews -
2
thinkingcybersecurity.com
Thinkingcybersecurity
-
3
innovationaus.com
Innovationaus
-
4
accountantsdaily.com.au
From security concerns to clashes with workplace policies, the transition to myGovID has caused a few headaches within the profession, but the ATO believes worries are misplaced.
Accountantsdaily Com -
5PDF
Keeping myGov Secure
Ombudsman Gov • PDF Document -
6
architecture.digital.gov.au
Architecture Digital Gov
-
7
cecs.anu.edu.au
Cecs Anu Edu
-
8
ato.gov.au
Ato Gov
评分方法
1-3: 不实
事实错误或恶意捏造。
4-6: 部分属实
有一定真实性,但缺乏背景或有所偏颇。
7-9: 基本属实
仅有微小的技术性或措辞问题。
10: 准确
完全经过验证且客观公正。
方法论: 评分通过交叉参照政府官方记录、独立事实核查机构和原始文件确定。