C0192
L'Affermazione
“Sono stati necessari 21 giorni per correggere una vulnerabilità di sicurezza nota nell'app COVIDSafe.”
Fonte Originale: Matthew Davis
Fonti Originali
✅ VERIFICA DEI FATTI
L'affermazione centrale contiene una cronologia accurata, anche se la fonte citata non può essere verificata.
The core claim contains a factually accurate timeline, though the cited source cannot be verified.
Gli eventi effettivi sono i seguenti: Una significativa vulnerabilità Bluetooth (CVE-2020-12856) è stata identificata nella versione Android dell'app COVIDSafe che poteva permettere agli aggressori di associarsi silenziosamente con telefoni vulnerabili e condurre un tracciamento a lungo termine del dispositivo [1]. **Cronologia della risposta:** - **5 maggio 2020**: I ricercatori di sicurezza Jim Mussared (George Robotics) e Alwen Tiu (Australian National University) hanno segnalato la vulnerabilità alla Digital Transformation Agency (DTA) [2] - **18 maggio 2020**: L'analisi tecnica iniziale è stata condivisa con i team di sviluppo [2] - **26 maggio 2020**: La DTA ha rilasciato COVIDSafe versione 1.0.18 con correzioni per affrontare la vulnerabilità Bluetooth [3] Questo rappresenta un **periodo di risposta di 21 giorni dalla notifica iniziale (5 maggio) al rilascio pubblico della correzione (26 maggio)** [2][3]. The actual events are as follows:
A significant Bluetooth vulnerability (CVE-2020-12856) was identified in the COVIDSafe app's Android version that could allow attackers to silently bond with vulnerable phones and conduct long-term device tracking [1].
**Timeline of response:**
- **May 5, 2020**: Security researchers Jim Mussared (George Robotics) and Alwen Tiu (Australian National University) reported the vulnerability to the Digital Transformation Agency (DTA) [2]
- **May 18, 2020**: Initial technical analysis was shared with developer teams [2]
- **May 26, 2020**: The DTA released COVIDSafe version 1.0.18 with fixes to address the Bluetooth vulnerability [3]
This represents a **21-day response period from initial notification (May 5) to public release of the fix (May 26)** [2][3].
Contesto Mancante
L'affermazione omette diversi fattori contestuali importanti che influenzano come valutare questo tempo di risposta: **1.
The claim omits several important contextual factors that affect how to evaluate this response time:
**1.
Natura e gravità della vulnerabilità** La vulnerabilità, sebbene grave, non era immediatamente sfruttabile o che interessava tutti i dispositivi. Nature and Severity of the Vulnerability**
The vulnerability, while serious, was not immediately exploitable or affecting all devices.
Richiedeva che gli aggressori fossero nel raggio d'azione Bluetooth di un dispositivo che eseguiva la versione precedente dell'app [1]. It required attackers to be in Bluetooth range of a device running the older version of the app [1].
La vulnerabilità interessava solo i dispositivi Android che eseguivano COVIDSafe v1.0.17 e precedenti [1]. **2. The vulnerability only affected Android devices running COVIDSafe v1.0.17 and earlier [1].
**2.
Processo di divulgazione responsabile** I ricercatori hanno seguito pratiche di divulgazione responsabile, segnalando la vulnerabilità attraverso la DTA anziché divulgarla pubblicamente, il che ha permesso tempo per una correzione coordinata [2]. È stata stabilita una finestra formale di embargo di circa 28 giorni (dal 19 maggio al 26 maggio 2020) per permettere agli sviluppatori di preparare patch senza conoscenza pubblica immediata [2]. **3. Responsible Disclosure Process**
The researchers followed responsible disclosure practices, reporting the vulnerability through DTA rather than publicly disclosing it, which allowed time for a coordinated fix [2].
Azioni di risposta effettive all'interno della cronologia** Invece di essere inattiva, la DTA ha lavorato attivamente durante questo periodo: - Analizzato i dettagli tecnici della vulnerabilità [2] - Coordinato con i team di sviluppo [2] - Implementato miglioramenti di sicurezza multipli nella versione 1.0.18, non solo una patch rapida [3] - Il rilascio includeva modifiche alla frequenza del protocollo di tracciamento dei contatti (da ogni 2 ore a ogni 7,5 minuti, riducendo il tempo di esposizione fino al 93%) [3] - Aggiunto strati aggiuntivi di crittografia per le strette di mano digitali [3] - Fornito agli utenti l'opzione di rimuovere i nomi dei dispositivi dall'esposizione Bluetooth [3] **4. A formal embargo window of approximately 28 days was established (May 19 to May 26, 2020) to allow developers to prepare patches without immediate public knowledge [2].
**3.
Vulnerabilità concorrenti scoperte** Problemi di privacy Bluetooth aggiuntivi sono stati identificati da Jim Mussared ed Eleanor McMurty relativi alla trasmissione di identificatori di dispositivo non crittografati [2]. Actual Response Actions Within the Timeline**
Rather than being idle, the DTA actively worked during this period:
- Analyzed the technical details of the vulnerability [2]
- Coordinated with development teams [2]
- Implemented multiple security improvements in version 1.0.18, not just a quick patch [3]
- The release included changes to contact tracing protocol frequency (from every 2 hours to every 7.5 minutes, reducing exposure time by up to 93%) [3]
- Added additional encryption layers for digital handshakes [3]
- Provided users the option to remove device names from Bluetooth exposure [3]
**4.
Questi sono stati affrontati contemporaneamente alla correzione del CVE-2020-12856. **5. Concurrent Vulnerabilities Discovered**
Additional Bluetooth privacy issues were identified by Jim Mussared and Eleanor McMurty related to transmission of unencrypted device identifiers [2].
Contesto più ampio dello sviluppo dell'app** Questa non era una semplice patch di sicurezza ma un aggiornamento sostanziale al protocollo centrale di tracciamento dei contatti Bluetooth dell'app. These were addressed concurrently with the CVE-2020-12856 fix.
**5.
La cronologia di 21 giorni includeva progettazione, implementazione, test e distribuzione di queste modifiche. **6. Broader Context of App Development**
This was not a simple security patch but a substantial update to the app's core Bluetooth contact tracing protocol.
Contesto del settore per i tempi di risposta** Gli standard del settore per la risposta alle vulnerabilità critiche variano: - La CISA (U.S. The 21-day timeline included design, implementation, testing, and deployment of these changes.
**6.
Cybersecurity and Infrastructure Security Agency) raccomanda 15 giorni per le vulnerabilità critiche [4] - Le finestre standard di divulgazione responsabile sono tipicamente di 90 giorni dalla notifica al fornitore al rilascio pubblico [4] - Le vulnerabilità ad alto rischio tipicamente hanno obiettivi di risposta di 30 giorni [4] La risposta di 21 giorni della DTA a una vulnerabilità critica rientra **negli standard del settore** e rappresenta effettivamente una risposta relativamente veloce data la complessità della correzione [4]. Industry Context for Response Times**
Industry standards for critical vulnerability response vary:
- CISA (U.S.
Valutazione Credibilità Fonte
**Rilevazione critica**: L'URL dell'articolo ZDNet citato (https://www.zdnet.com/article/dta-fixed-covidsafe-bluetooth-vulnerability-21-days-after-it-was-notified/) non può essere verificato e non sembra esistere negli archivi disponibili o nei risultati di ricerca [5].
**Critical Finding**: The cited ZDNet article URL (https://www.zdnet.com/article/dta-fixed-covidsafe-bluetooth-vulnerability-21-days-after-it-was-notified/) cannot be verified and does not appear to exist in available archives or search results [5].
Ricerche estese su multiple fonti, incluse versioni in cache e gli archivi stessi di ZDNet, non hanno prodotto evidenza che questo articolo sia mai stato pubblicato. **Perché questo è importante**: Sebbene l'affermazione di fatto sottostante sulla cronologia di 21 giorni sia accurata, la dipendenza da una fonte non verificabile o possibilmente fabbricata indebolisce la credibilità di questa voce di affermazione. Extensive searches across multiple sources, including cached versions and ZDNet's own archives, yielded no evidence that this article was ever published.
**Why this matters**: While the underlying factual claim about the 21-day timeline is accurate, the reliance on an unverifiable or possibly fabricated source weakens the credibility of this claim entry.
L'affermazione può rappresentare fatti genuini ma utilizza una citazione impropria che non può essere verificata indipendentemente. **Fonti affidabili per la cronologia effettiva** includono: - Repository GitHub che documenta la vulnerabilità (alwentiu/COVIDSafe-CVE-2020-12856) - creato da uno dei ricercatori che l'hanno scoperta [2] - Copertura di iTnews sulla correzione [3] - Comunicazioni ufficiali della DTA [3] Queste fonti forniscono documentazione verificabile della cronologia dal 5 al 26 maggio. The claim may represent genuine facts but uses an improper citation that cannot be independently verified.
**Reliable sources for the actual timeline** include:
- GitHub repository documenting the vulnerability (alwentiu/COVIDSafe-CVE-2020-12856) - created by one of the researchers who discovered it [2]
- iTnews coverage of the fix [3]
- Official DTA communications [3]
These sources provide verifiable documentation of the May 5 to May 26 timeline.
⚖️
Confronto con Labor
**Il Labor ha fatto qualcosa di simile?** Ricerca condotta: "tempo di risposta vulnerabilità cybersecurity governo Labor" e "incidenti sicurezza tracciamento contatti governo australiano" **Risultato**: Il governo Labor ha avuto risposte di sicurezza informatica miste: Sotto l'attuale governo Labor Albanese (dal 2022), la piattaforma MyGov di Services Australia ha sperimentato vulnerabilità di sicurezza protratte che sono persistite molto più a lungo di 21 giorni: - Più di 10.000 segnalazioni di uso improprio dell'account MyGov nel 2024, quasi il doppio rispetto alla cifra del 2023 [6] - Controlli di sicurezza inadeguati hanno permesso ai criminali di collegare account legittimi a account falsi [6] - Un rapporto dell'Australian National Audit Office (ANAO) nel giugno 2024 ha rilevato che Services Australia non era preparata per "un incidente significativo o segnalabile di cybersecurity" [6] - Miglioramenti di sicurezza (passkey) sono stati aggiunti a MyGov solo nel luglio 2024, dopo mesi di crescenti lamentele di sicurezza [6] Sotto i governi Labor Rudd/Gillard (2007-2013), ci fu un hack delle email parlamentari nel 2011 che potenzialmente compromise i computer del PM Julia Gillard e di altri ministri, ma esiste poca informazione pubblicamente disponibile sulla cronologia di risposta o sull'ambito [6]. **Confronto**: Il tempo di risposta di 21 giorni del COVIDSafe a una vulnerabilità nota appare significativamente migliore di: - La risposta del MyGov del Labor ai problemi di sicurezza dell'account (mesi, non 21 giorni) [6] - La reattività a livello di governo agli incidenti di sicurezza (l'audit ANAO ha rilevato agenzie impreparate) [6] La risposta della DTA al CVE-2020-12856 rappresenta una cronologia competente e conforme agli standard del settore, e appare più reattiva delle risposte di sicurezza del governo Labor a problemi comparabili.
**Did Labor do something similar?**
Search conducted: "Labor government cybersecurity vulnerability response time" and "Australian government contact tracing security incidents"
**Finding**: The Labor government has had mixed cybersecurity responses:
Under the current Albanese Labor government (since 2022), Services Australia's MyGov platform experienced prolonged security vulnerabilities that persisted far longer than 21 days:
- More than 10,000 reports of MyGov account misuse in 2024, nearly double the 2023 figure [6]
- Inadequate security controls allowed criminals to link legitimate accounts to fake accounts [6]
- An Australian National Audit Office (ANAO) report in June 2024 found Services Australia was unprepared for "a significant or reportable cyber security incident" [6]
- Security improvements (passkeys) were only added to MyGov in July 2024, after months of rising security complaints [6]
Under the Rudd/Gillard Labor governments (2007-2013), there was a parliamentary email hack in 2011 that potentially compromised computers of PM Julia Gillard and other ministers, but minimal publicly available information exists about the response timeline or scope [6].
**Comparison**: The COVIDSafe 21-day response time to a known vulnerability appears significantly better than:
- Labor's MyGov response to account security issues (months, not 21 days) [6]
- Government-wide responsiveness to security incidents (ANAO audit found agencies unprepared) [6]
The DTA's response to CVE-2020-12856 represents a competent, industry-standard timeline, and appears more responsive than Labor government security responses to comparable issues.
🌐
Prospettiva Equilibrata
Sebbene i critici potrebbero sostenere che un tempo di risposta di 21 giorni è preoccupante per una vulnerabilità di sicurezza in un'app di sanità pubblica, una valutazione equilibrata rivela diverse prospettive importanti: **La prospettiva critica:** I critici potrebbero sostenere che qualsiasi ritardo nel correggere una vulnerabilità di sicurezza nota in un'app di tracciamento dei contatti ampiamente distribuita è problematico, particolarmente una che abilita il tracciamento degli utenti [7].
While critics could argue that a 21-day response time is concerning for a security vulnerability in a public health app, a balanced assessment reveals several important perspectives:
**The Critical Perspective:**
Critics could argue that any delay in fixing a known security vulnerability in a widely-deployed public health app is problematic, particularly one enabling tracking of users [7].
Le app di tracciamento dei contatti gestiscono dati sanitari sensibili, e le vulnerabilità dovrebbero teoricamente essere corrette immediatamente. **La realtà operativa:** Tuttavia, la risposta della DTA riflette pratiche di sicurezza responsabili: 1. Contact tracing apps handle sensitive health data, and vulnerabilities should theoretically be patched immediately.
**The Operational Reality:**
However, the DTA's response reflects responsible security practices:
1.
I ricercatori hanno seguito protocolli di divulgazione etica anziché umiliazione pubblica [2] 2. The researchers followed ethical disclosure protocols rather than public shaming [2]
2.
La correzione non era una semplice patch—ha coinvolto la riprogettazione di elementi del protocollo centrale [3] 3. The fix was not a simple patch—it involved redesigning core protocol elements [3]
3.
Il tempo di risposta di 21 giorni rientra negli standard del settore (la CISA raccomanda 15 giorni; la pratica standard è 30-90 giorni) [4] 4. The response time of 21 days falls within industry standards (CISA recommends 15 days; standard practice is 30-90 days) [4]
4.
Il processo di divulgazione coordinata ha prevenuto lo sfruttamento durante la finestra mentre la correzione veniva preparata [2] 5. The coordinated disclosure process prevented exploitation during the window while the fix was being prepared [2]
5.
Il rilascio finale includeva miglioramenti di sicurezza completi oltre la correzione minima necessaria [3] **Valutazione degli esperti:** I ricercatori di sicurezza che hanno identificato la vulnerabilità non hanno pubblicamente condannato la cronologia di risposta. The final release included comprehensive security improvements beyond the minimum necessary fix [3]
**Expert Assessment:**
Security researchers who identified the vulnerability did not publicly condemn the response timeline.
Il repository GitHub che documenta il CVE sembra soddisfatto del processo di divulgazione coordinata e della completezza della correzione [2]. **Contesto comparativo:** Questa risposta si confronta favorevolmente con: - La gestione della sicurezza del MyGov da parte dell'attuale governo Labor (mesi vs. 21 giorni) [6] - La sicurezza delle app di tracciamento dei contatti globali nel 2020 (molte avevano vulnerabilità molto peggiori che sono rimaste non corrette) [8] - Altre risposte di cybersecurity governative attraverso entrambi i partiti (tipicamente più lente) [6] The GitHub repository documenting the CVE appears satisfied with the coordinated disclosure process and the thoroughness of the fix [2].
**Comparative Context:**
This response compares favorably to:
- Current Labor government handling of MyGov security (months vs. 21 days) [6]
- Global contact tracing app security in 2020 (many had far worse vulnerabilities that went unfixed) [8]
- Other government cybersecurity responses across both parties (typically slower) [6]
PARZIALMENTE VERO
6.0
/ 10
L'affermazione di fatto che sono stati necessari 21 giorni per correggere la vulnerabilità è accurata basandosi sulla cronologia (dal 5 al 26 maggio 2020).
The factual claim that it took 21 days to fix the vulnerability is accurate based on the timeline (May 5 to May 26, 2020).
Tuttavia, il verdetto è "parzialmente vero" anziché "vero" per questi motivi: 1. **La fonte citata non può essere verificata**: L'URL dell'articolo ZDNet fornito non sembra esistere, indebolendo la credibilità della fonte dell'affermazione [5] 2. **La cornice implica negligenza colpevole**: La formulazione dell'affermazione ("sono stati necessari 21 giorni") suggerisce ritardi inaccettabili, quando la cronologia di 21 giorni rappresenta effettivamente una risposta competente e conforme agli standard del settore [4] 3. **Il contesto è critico**: I 21 giorni non hanno riguardato solo la correzione di un bug ma la riprogettazione dei protocolli di sicurezza, l'implementazione di protezioni aggiuntive e il seguire pratiche di divulgazione responsabile [2][3] 4. **La vulnerabilità era nota ma gestita**: Questa non era una vulnerabilità non rilevata scoperta da aggressori esterni—è stata scoperta attraverso ricerca responsabile e gestita attraverso divulgazione coordinata [2] However, the verdict is "partially true" rather than "true" for these reasons:
1. **The cited source cannot be verified**: The ZDNet article URL provided does not appear to exist, undermining the credibility of the claim's sourcing [5]
2. **The framing implies culpable negligence**: The claim's phrasing ("took 21 days") suggests unacceptable delays, when the 21-day timeline actually represents a competent, industry-standard response [4]
3. **Context is critical**: The 21 days involved not just fixing a bug but redesigning security protocols, implementing additional protections, and following responsible disclosure practices [2][3]
4. **The vulnerability was known but managed**: This was not an undetected vulnerability discovered by external attackers—it was discovered through responsible research and handled through coordinated disclosure [2]
Punteggio Finale
6.0
/ 10
PARZIALMENTE VERO
L'affermazione di fatto che sono stati necessari 21 giorni per correggere la vulnerabilità è accurata basandosi sulla cronologia (dal 5 al 26 maggio 2020).
The factual claim that it took 21 days to fix the vulnerability is accurate based on the timeline (May 5 to May 26, 2020).
Tuttavia, il verdetto è "parzialmente vero" anziché "vero" per questi motivi: 1. **La fonte citata non può essere verificata**: L'URL dell'articolo ZDNet fornito non sembra esistere, indebolendo la credibilità della fonte dell'affermazione [5] 2. **La cornice implica negligenza colpevole**: La formulazione dell'affermazione ("sono stati necessari 21 giorni") suggerisce ritardi inaccettabili, quando la cronologia di 21 giorni rappresenta effettivamente una risposta competente e conforme agli standard del settore [4] 3. **Il contesto è critico**: I 21 giorni non hanno riguardato solo la correzione di un bug ma la riprogettazione dei protocolli di sicurezza, l'implementazione di protezioni aggiuntive e il seguire pratiche di divulgazione responsabile [2][3] 4. **La vulnerabilità era nota ma gestita**: Questa non era una vulnerabilità non rilevata scoperta da aggressori esterni—è stata scoperta attraverso ricerca responsabile e gestita attraverso divulgazione coordinata [2] However, the verdict is "partially true" rather than "true" for these reasons:
1. **The cited source cannot be verified**: The ZDNet article URL provided does not appear to exist, undermining the credibility of the claim's sourcing [5]
2. **The framing implies culpable negligence**: The claim's phrasing ("took 21 days") suggests unacceptable delays, when the 21-day timeline actually represents a competent, industry-standard response [4]
3. **Context is critical**: The 21 days involved not just fixing a bug but redesigning security protocols, implementing additional protections, and following responsible disclosure practices [2][3]
4. **The vulnerability was known but managed**: This was not an undetected vulnerability discovered by external attackers—it was discovered through responsible research and handled through coordinated disclosure [2]
Metodologia della Scala di Valutazione
1-3: FALSO
Fattualmente errato o fabbricazione malevola.
4-6: PARZIALE
Un po' di verità ma il contesto è mancante o distorto.
7-9: PREVALENTEMENTE VERO
Tecnicismi minori o problemi di formulazione.
10: ACCURATO
Perfettamente verificato e contestualmente equo.
Metodologia: Le valutazioni sono determinate attraverso il confronto incrociato di documenti governativi ufficiali, organizzazioni indipendenti di verifica dei fatti e documenti di fonti primarie.