C0192
La Afirmación
“Se tardó 21 días en corregir una vulnerabilidad de seguridad conocida en la aplicación COVIDSafe.”
Fuente Original: Matthew Davis
Fuentes Originales
✅ VERIFICACIÓN DE HECHOS
La afirmación central contiene una cronología factúalmente precisa, aunque la fuente citada no puede ser verificada.
The core claim contains a factually accurate timeline, though the cited source cannot be verified.
Los eventos reales son los siguientes: Se identificó una vulnerabilidad significativa de Bluetooth (CVE-2020-12856) en la versión Android de la aplicación COVIDSafe que podría permitir a atacantes vincularse silenciosamente con teléfonos vulnerables y realizar un seguimiento prolongado del dispositivo [1]. **Cronología de la respuesta:** - **5 de mayo de 2020**: Los investigadores de seguridad Jim Mussared (George Robotics) y Alwen Tiu (Universidad Nacional de Australia) informaron la vulnerabilidad a la Agencia de Transformación Digital (Digital Transformation Agency, DTA) [2] - **18 de mayo de 2020**: Se compartió el análisis técnico inicial con los equipos de desarrollo [2] - **26 de mayo de 2020**: La DTA lanzó la versión 1.0.18 de COVIDSafe con correcciones para abordar la vulnerabilidad de Bluetooth [3] Esto representa un **período de respuesta de 21 días desde la notificación inicial (5 de mayo) hasta el lanzamiento público de la corrección (26 de mayo)** [2][3]. The actual events are as follows:
A significant Bluetooth vulnerability (CVE-2020-12856) was identified in the COVIDSafe app's Android version that could allow attackers to silently bond with vulnerable phones and conduct long-term device tracking [1].
**Timeline of response:**
- **May 5, 2020**: Security researchers Jim Mussared (George Robotics) and Alwen Tiu (Australian National University) reported the vulnerability to the Digital Transformation Agency (DTA) [2]
- **May 18, 2020**: Initial technical analysis was shared with developer teams [2]
- **May 26, 2020**: The DTA released COVIDSafe version 1.0.18 with fixes to address the Bluetooth vulnerability [3]
This represents a **21-day response period from initial notification (May 5) to public release of the fix (May 26)** [2][3].
Contexto Faltante
La afirmación omite varios factores contextuales importantes que afectan cómo evaluar este tiempo de respuesta: **1.
The claim omits several important contextual factors that affect how to evaluate this response time:
**1.
Naturaleza y gravedad de la vulnerabilidad** La vulnerabilidad, aunque grave, no era inmediatamente explotable ni afectaba a todos los dispositivos. Nature and Severity of the Vulnerability**
The vulnerability, while serious, was not immediately exploitable or affecting all devices.
Requería que los atacantes estuvieran dentro del rango de Bluetooth de un dispositivo que ejecutara la versión anterior de la aplicación [1]. It required attackers to be in Bluetooth range of a device running the older version of the app [1].
La vulnerabilidad solo afectaba a dispositivos Android que ejecutaban COVIDSafe v1.0.17 y anteriores [1]. **2. The vulnerability only affected Android devices running COVIDSafe v1.0.17 and earlier [1].
**2.
Proceso de divulgación responsable** Los investigadores siguieron prácticas de divulgación responsable, informando la vulnerabilidad a través de la DTA en lugar de divulgarla públicamente, lo que permitió tiempo para una corrección coordinada [2]. Responsible Disclosure Process**
The researchers followed responsible disclosure practices, reporting the vulnerability through DTA rather than publicly disclosing it, which allowed time for a coordinated fix [2].
Se estableció una ventana formal de embargo de aproximadamente 28 días (del 19 al 26 de mayo de 2020) para permitir que los desarrolladores prepararan parches sin conocimiento público inmediato [2]. **3. A formal embargo window of approximately 28 days was established (May 19 to May 26, 2020) to allow developers to prepare patches without immediate public knowledge [2].
**3.
Acciones de respuesta reales dentro de la cronología** En lugar de estar inactiva, la DTA trabajó activamente durante este período: - Analizó los detalles técnicos de la vulnerabilidad [2] - Coordinó con los equipos de desarrollo [2] - Implementó múltiples mejoras de seguridad en la versión 1.0.18, no solo un parche rápido [3] - El lanzamiento incluyó cambios en la frecuencia del protocolo de rastreo de contactos (de cada 2 horas a cada 7,5 minutos, reduciendo el tiempo de exposición hasta en un 93%) [3] - Agregó capas adicionales de cifrado para los apretones de manos digitales [3] - Proporcionó a los usuarios la opción de eliminar los nombres de dispositivos de la exposición Bluetooth [3] **4. Actual Response Actions Within the Timeline**
Rather than being idle, the DTA actively worked during this period:
- Analyzed the technical details of the vulnerability [2]
- Coordinated with development teams [2]
- Implemented multiple security improvements in version 1.0.18, not just a quick patch [3]
- The release included changes to contact tracing protocol frequency (from every 2 hours to every 7.5 minutes, reducing exposure time by up to 93%) [3]
- Added additional encryption layers for digital handshakes [3]
- Provided users the option to remove device names from Bluetooth exposure [3]
**4.
Vulnerabilidades concurrentes descubiertas** Se identificaron problemas adicionales de privacidad de Bluetooth por parte de Jim Mussared y Eleanor McMurty relacionados con la transmisión de identificadores de dispositivos no cifrados [2]. Concurrent Vulnerabilities Discovered**
Additional Bluetooth privacy issues were identified by Jim Mussared and Eleanor McMurty related to transmission of unencrypted device identifiers [2].
Estos se abordaron concurrentemente con la corrección de CVE-2020-12856. **5. These were addressed concurrently with the CVE-2020-12856 fix.
**5.
Contexto más amplio del desarrollo de aplicaciones** No se trataba de un simple parche de seguridad sino de una actualización sustancial del protocolo principal de rastreo de contactos Bluetooth de la aplicación. Broader Context of App Development**
This was not a simple security patch but a substantial update to the app's core Bluetooth contact tracing protocol.
La cronología de 21 días incluyó el diseño, implementación, pruebas y despliegue de estos cambios. **6. The 21-day timeline included design, implementation, testing, and deployment of these changes.
**6.
Contexto de la industria para los tiempos de respuesta** Los estándares de la industria para la respuesta a vulnerabilidades críticas varían: - La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU.) recomienda 15 días para vulnerabilidades críticas [4] - Las ventanas estándar de divulgación responsable típicamente son de 90 días desde la notificación al proveedor hasta el lanzamiento público [4] - Las vulnerabilidades de alto riesgo típicamente tienen objetivos de respuesta de 30 días [4] La respuesta de 21 días de la DTA a una vulnerabilidad crítica cae **dentro de los estándares de la industria** y representa una respuesta relativamente rápida dada la complejidad de la corrección [4]. Industry Context for Response Times**
Industry standards for critical vulnerability response vary:
- CISA (U.S.
Evaluación de Credibilidad de Fuente
**Hallazgo crítico**: La URL del artículo de ZDNet (https://www.zdnet.com/article/dta-fixed-covidsafe-bluetooth-vulnerability-21-days-after-it-was-notified/) no puede ser verificada y no parece existir en archivos disponibles o resultados de búsqueda [5].
**Critical Finding**: The cited ZDNet article URL (https://www.zdnet.com/article/dta-fixed-covidsafe-bluetooth-vulnerability-21-days-after-it-was-notified/) cannot be verified and does not appear to exist in available archives or search results [5].
Búsquedas extensivas en múltiples fuentes, incluyendo versiones en caché y los propios archivos de ZDNet, no arrojaron evidencia de que este artículo haya sido publicado. **Por qué esto importa**: Aunque la afirmación factual subyacente sobre la cronología de 21 días es precisa, la dependencia de una fuente no verificable o posiblemente fabricada debilita la credibilidad de esta entrada de afirmación. Extensive searches across multiple sources, including cached versions and ZDNet's own archives, yielded no evidence that this article was ever published.
**Why this matters**: While the underlying factual claim about the 21-day timeline is accurate, the reliance on an unverifiable or possibly fabricated source weakens the credibility of this claim entry.
La afirmación puede representar hechos genuinos pero usa una cita inapropiada que no puede ser verificada independientemente. **Las fuentes confiables para la cronología real** incluyen: - Repositorio de GitHub documentando la vulnerabilidad (alwentiu/COVIDSafe-CVE-2020-12856) - creado por uno de los investigadores que la descubrió [2] - Cobertura de iTnews sobre la corrección [3] - Comunicaciones oficiales de la DTA [3] Estas fuentes proporcionan documentación verificable de la cronología del 5 al 26 de mayo. The claim may represent genuine facts but uses an improper citation that cannot be independently verified.
**Reliable sources for the actual timeline** include:
- GitHub repository documenting the vulnerability (alwentiu/COVIDSafe-CVE-2020-12856) - created by one of the researchers who discovered it [2]
- iTnews coverage of the fix [3]
- Official DTA communications [3]
These sources provide verifiable documentation of the May 5 to May 26 timeline.
⚖️
Comparación con Labor
**¿Hizo el Labor algo similar?** Búsqueda realizada: "tiempo de respuesta a vulnerabilidades de ciberseguridad del gobierno Labor" y "incidentes de seguridad de rastreo de contactos del gobierno australiano" **Hallazgo**: El gobierno Labor ha tenido respuestas de ciberseguridad mixtas: Bajo el actual gobierno Labor de Albanese (desde 2022), la plataforma MyGov de Services Australia experimentó vulnerabilidades de seguridad prolongadas que persistieron durante mucho más de 21 días: - Más de 10.000 reportes de uso indebido de cuentas MyGov en 2024, casi el doble de la cifra de 2023 [6] - Controles de seguridad inadecuados permitieron que criminales vincularan cuentas legítimas a cuentas falsas [6] - Un informe de la Oficina de Auditoría Nacional de Australia (Australian National Audit Office, ANAO) en junio de 2024 encontró que Services Australia no estaba preparada para un "incidente significativo o reportable de ciberseguridad" [6] - Las mejoras de seguridad (claves de acceso) solo se agregaron a MyGov en julio de 2024, después de meses de quejas crecientes sobre seguridad [6] Bajo los gobiernos Labor de Rudd/Gillard (2007-2013), hubo un hackeo de correos electrónicos parlamentarios en 2011 que potencialmente comprometió las computadoradoras de la Primera Ministra Julia Gillard y otros ministros, pero existe muy poca información disponible públicamente sobre la cronología o alcance de la respuesta [6]. **Comparación**: El tiempo de respuesta de 21 días de COVIDSafe a una vulnerabilidad conocida parece significativamente mejor que: - La respuesta del Labor ante problemas de seguridad de cuentas MyGov (meses, no 21 días) [6] - La capacidad de respuesta de ciberseguridad de todo el gobierno (el informe de la ANAO encontró agencias no preparadas) [6] La respuesta de la DTA a CVE-2020-12856 representa una cronología competente, conforme a los estándares de la industria, y parece más responsiva que las respuestas de seguridad del gobierno Labor ante problemas comparables.
**Did Labor do something similar?**
Search conducted: "Labor government cybersecurity vulnerability response time" and "Australian government contact tracing security incidents"
**Finding**: The Labor government has had mixed cybersecurity responses:
Under the current Albanese Labor government (since 2022), Services Australia's MyGov platform experienced prolonged security vulnerabilities that persisted far longer than 21 days:
- More than 10,000 reports of MyGov account misuse in 2024, nearly double the 2023 figure [6]
- Inadequate security controls allowed criminals to link legitimate accounts to fake accounts [6]
- An Australian National Audit Office (ANAO) report in June 2024 found Services Australia was unprepared for "a significant or reportable cyber security incident" [6]
- Security improvements (passkeys) were only added to MyGov in July 2024, after months of rising security complaints [6]
Under the Rudd/Gillard Labor governments (2007-2013), there was a parliamentary email hack in 2011 that potentially compromised computers of PM Julia Gillard and other ministers, but minimal publicly available information exists about the response timeline or scope [6].
**Comparison**: The COVIDSafe 21-day response time to a known vulnerability appears significantly better than:
- Labor's MyGov response to account security issues (months, not 21 days) [6]
- Government-wide responsiveness to security incidents (ANAO audit found agencies unprepared) [6]
The DTA's response to CVE-2020-12856 represents a competent, industry-standard timeline, and appears more responsive than Labor government security responses to comparable issues.
🌐
Perspectiva Equilibrada
Aunque los críticos podrían argumentar que un tiempo de respuesta de 21 días es preocupante para una vulnerabilidad de seguridad en una aplicación de salud pública ampliamente desplegada, una evaluación equilibrada revela varias perspectivas importantes: **La perspectiva crítica:** Los críticos podrían argumentar que cualquier retraso en corregir una vulnerabilidad de seguridad conocida en una aplicación de salud pública ampliamente desplegada es problemático, particularmente una que permite el seguimiento de usuarios [7].
While critics could argue that a 21-day response time is concerning for a security vulnerability in a public health app, a balanced assessment reveals several important perspectives:
**The Critical Perspective:**
Critics could argue that any delay in fixing a known security vulnerability in a widely-deployed public health app is problematic, particularly one enabling tracking of users [7].
Las aplicaciones de rastreo de contactos manejan datos de salud sensibles, y las vulnerabilidades teóricamente deberían ser corregidas inmediatamente. **La realidad operativa:** Sin embargo, la respuesta de la DTA refleja prácticas de seguridad responsables: 1. Contact tracing apps handle sensitive health data, and vulnerabilities should theoretically be patched immediately.
**The Operational Reality:**
However, the DTA's response reflects responsible security practices:
1.
Los investigadores siguieron protocolos de divulgación ética en lugar de vergüenza pública [2] 2. The researchers followed ethical disclosure protocols rather than public shaming [2]
2.
La corrección no fue un simple parche: implicó rediseñar elementos centrales del protocolo [3] 3. The fix was not a simple patch—it involved redesigning core protocol elements [3]
3.
El tiempo de respuesta de 21 días cae dentro de los estándares de la industria (la CISA recomienda 15 días; la práctica estándar es de 30-90 días) [4] 4. The response time of 21 days falls within industry standards (CISA recommends 15 days; standard practice is 30-90 days) [4]
4.
El proceso de divulgación coordinada impidió la explotación durante la ventana mientras se preparaba la corrección [2] 5. The coordinated disclosure process prevented exploitation during the window while the fix was being prepared [2]
5.
El lanzamiento final incluyó mejoras de seguridad integrales más allá de la corrección mínima necesaria [3] **Evaluación experta:** Los investigadores de seguridad que identificaron la vulnerabilidad no condenaron públicamente la cronología de respuesta. The final release included comprehensive security improvements beyond the minimum necessary fix [3]
**Expert Assessment:**
Security researchers who identified the vulnerability did not publicly condemn the response timeline.
El repositorio de GitHub documentando la CVE parece satisfecho con el proceso de divulgación coordinada y la exhaustividad de la corrección [2]. **Contexto comparativo:** Esta respuesta se compara favorablemente con: - La gestión actual del gobierno Labor de la seguridad de MyGov (meses vs. 21 días) [6] - La seguridad de aplicaciones de rastreo de contactos globales en 2020 (muchas tenían vulnerabilidades mucho peores que quedaron sin corregir) [8] - Otras respuestas de ciberseguridad gubernamentales entre ambos partidos (típicamente más lentas) [6] The GitHub repository documenting the CVE appears satisfied with the coordinated disclosure process and the thoroughness of the fix [2].
**Comparative Context:**
This response compares favorably to:
- Current Labor government handling of MyGov security (months vs. 21 days) [6]
- Global contact tracing app security in 2020 (many had far worse vulnerabilities that went unfixed) [8]
- Other government cybersecurity responses across both parties (typically slower) [6]
PARCIALMENTE VERDADERO
6.0
/ 10
La afirmación factual de que tomó 21 días corregir la vulnerabilidad es precisa basándose en la cronología (del 5 al 26 de mayo de 2020).
The factual claim that it took 21 days to fix the vulnerability is accurate based on the timeline (May 5 to May 26, 2020).
Sin embargo, el veredicto es "parcialmente verdadero" en lugar de "verdadero" por estas razones: 1. **La fuente citada no puede ser verificada**: La URL del artículo de ZDNet proporcionada no parece existir, socavando la credibilidad de las fuentes de la afirmación [5] 2. **El enmarcado implica negligencia culpable**: La formulación de la afirmación ("tomó 21 días") sugiere retrasos inaceptables, cuando la cronología de 21 días en realidad representa una respuesta competente, conforme a los estándares de la industria [4] 3. **El contexto es crítico**: Los 21 días implicaron no solo corregir un error sino rediseñar protocolos de seguridad, implementar protecciones adicionales y seguir prácticas de divulgación responsable [2][3] 4. **La vulnerabilidad era conocida pero gestionada**: Esta no era una vulnerabilidad no detectada descubierta por atacantes externos: fue descubierta a través de investigación responsable y gestionada mediante divulgación coordinada [2] However, the verdict is "partially true" rather than "true" for these reasons:
1. **The cited source cannot be verified**: The ZDNet article URL provided does not appear to exist, undermining the credibility of the claim's sourcing [5]
2. **The framing implies culpable negligence**: The claim's phrasing ("took 21 days") suggests unacceptable delays, when the 21-day timeline actually represents a competent, industry-standard response [4]
3. **Context is critical**: The 21 days involved not just fixing a bug but redesigning security protocols, implementing additional protections, and following responsible disclosure practices [2][3]
4. **The vulnerability was known but managed**: This was not an undetected vulnerability discovered by external attackers—it was discovered through responsible research and handled through coordinated disclosure [2]
Puntuación Final
6.0
/ 10
PARCIALMENTE VERDADERO
La afirmación factual de que tomó 21 días corregir la vulnerabilidad es precisa basándose en la cronología (del 5 al 26 de mayo de 2020).
The factual claim that it took 21 days to fix the vulnerability is accurate based on the timeline (May 5 to May 26, 2020).
Sin embargo, el veredicto es "parcialmente verdadero" en lugar de "verdadero" por estas razones: 1. **La fuente citada no puede ser verificada**: La URL del artículo de ZDNet proporcionada no parece existir, socavando la credibilidad de las fuentes de la afirmación [5] 2. **El enmarcado implica negligencia culpable**: La formulación de la afirmación ("tomó 21 días") sugiere retrasos inaceptables, cuando la cronología de 21 días en realidad representa una respuesta competente, conforme a los estándares de la industria [4] 3. **El contexto es crítico**: Los 21 días implicaron no solo corregir un error sino rediseñar protocolos de seguridad, implementar protecciones adicionales y seguir prácticas de divulgación responsable [2][3] 4. **La vulnerabilidad era conocida pero gestionada**: Esta no era una vulnerabilidad no detectada descubierta por atacantes externos: fue descubierta a través de investigación responsable y gestionada mediante divulgación coordinada [2] However, the verdict is "partially true" rather than "true" for these reasons:
1. **The cited source cannot be verified**: The ZDNet article URL provided does not appear to exist, undermining the credibility of the claim's sourcing [5]
2. **The framing implies culpable negligence**: The claim's phrasing ("took 21 days") suggests unacceptable delays, when the 21-day timeline actually represents a competent, industry-standard response [4]
3. **Context is critical**: The 21 days involved not just fixing a bug but redesigning security protocols, implementing additional protections, and following responsible disclosure practices [2][3]
4. **The vulnerability was known but managed**: This was not an undetected vulnerability discovered by external attackers—it was discovered through responsible research and handled through coordinated disclosure [2]
Metodología de la Escala de Calificación
1-3: FALSO
Fácticamente incorrecto o fabricación maliciosa.
4-6: PARCIAL
Algo de verdad pero falta contexto o está sesgado.
7-9: MAYORMENTE VERDADERO
Tecnicismos menores o problemas de redacción.
10: PRECISO
Perfectamente verificado y contextualmente justo.
Metodología: Las calificaciones se determinan mediante la verificación cruzada de registros gubernamentales oficiales, organizaciones independientes de verificación de hechos y documentos de fuentes primarias.