Bahagyang Totoo

Rating: 6.0/10

Mag-ulat ng Isyu
Coalition
C0192

Ang Claim

“Umabot ng 21 araw para ayusin ang isang kilalang kahinaan sa seguridad ng COVIDSafe app.”
COVID Cyber Teknolohiya
Orihinal na Pinagmulan: Matthew Davis

Orihinal na Pinagmulan

FACTUAL NA BERIPIKASYON

Ang pangunahing claim ay may wastong timeline, bagama't hindi ma-verify ang binanggit na pinagmulan.
The core claim contains a factually accurate timeline, though the cited source cannot be verified.
 Ang aktwal na mga pangyayari ay ang mga sumusunod: Isang malaking Bluetooth vulnerability (CVE-2020-12856) ang natukoy sa Android version ng COVIDSafe app na maaaring magbigay-daan sa mga umaatake na tahimik na makabond sa mga vulnerable na telepono at magsagawa ng pangmatagalang pagsubaybay sa device [1]. **Timeline ng tugon:** - **Mayo 5, 2020**: Ang mga security researcher na sina Jim Mussared (George Robotics) at Alwen Tiu (Australian National University) ay nag-ulat ng vulnerability sa Digital Transformation Agency (DTA) [2] - **Mayo 18, 2020**: Ang paunang technical analysis ay ibinahagi sa mga development team [2] - **Mayo 26, 2020**: Ang DTA ay naglabas ng COVIDSafe version 1.0.18 na may mga pag-aayos para sa Bluetooth vulnerability [3] Ito ay kumakatawan sa **21-araw na panahon ng tugon mula sa paunang pagsusumite (Mayo 5) hanggang sa pampublikong paglalabas ng solusyon (Mayo 26)** [2][3].
The actual events are as follows: A significant Bluetooth vulnerability (CVE-2020-12856) was identified in the COVIDSafe app's Android version that could allow attackers to silently bond with vulnerable phones and conduct long-term device tracking [1]. **Timeline of response:** - **May 5, 2020**: Security researchers Jim Mussared (George Robotics) and Alwen Tiu (Australian National University) reported the vulnerability to the Digital Transformation Agency (DTA) [2] - **May 18, 2020**: Initial technical analysis was shared with developer teams [2] - **May 26, 2020**: The DTA released COVIDSafe version 1.0.18 with fixes to address the Bluetooth vulnerability [3] This represents a **21-day response period from initial notification (May 5) to public release of the fix (May 26)** [2][3].

Nawawalang Konteksto

Ang claim ay naglaktaw ng ilang mahahalagang konteksto na nakakaapekto sa kung paano suriin ang oras ng tugon na ito: **1.
The claim omits several important contextual factors that affect how to evaluate this response time: **1.
 Kalikasan at Lawak ng Vulnerability** Bagama't seryoso, ang vulnerability ay hindi agad na ma-eeksploit o nakakaapekto sa lahat ng device.
Nature and Severity of the Vulnerability** The vulnerability, while serious, was not immediately exploitable or affecting all devices.
 Nangangailangan ito na ang mga umaatake ay nasa Bluetooth range ng device na tumatakbo ng lumang version ng app [1].
It required attackers to be in Bluetooth range of a device running the older version of the app [1].
 Ang vulnerability ay apektado lamang ng Android devices na tumatakbo ng COVIDSafe v1.0.17 at mas lumang version [1]. **2.
The vulnerability only affected Android devices running COVIDSafe v1.0.17 and earlier [1]. **2.
 Proseso ng Responsableng Paglalahad** Ang mga researcher ay sumunod sa mga praktika ng responsableng paglalahad, nag-ulat sa DTA sa halip na pampublikong paglalantad, na nagbigay-daan ng oras para sa isang koordinadong solusyon [2].
Responsible Disclosure Process** The researchers followed responsible disclosure practices, reporting the vulnerability through DTA rather than publicly disclosing it, which allowed time for a coordinated fix [2].
 Isang pormal na embargo window na humigit-kumulang 28 araw ang itinatag (Mayo 19 hanggang Mayo 26, 2020) para magbigay-daan sa mga developer na maghanda ng mga patch nang walang agarang pampublikong kaalaman [2]. **3.
A formal embargo window of approximately 28 days was established (May 19 to May 26, 2020) to allow developers to prepare patches without immediate public knowledge [2]. **3.
 Aktwal na Mga Aksyon ng Tugon sa Loob ng Timeline** Sa halip na walang ginagawa, ang DTA ay aktibong nagtrabaho sa panahong ito: - Sinaliksik ang mga technical detail ng vulnerability [2] - Naging koordinado sa mga development team [2] - Inilapat ang maramihang security improvements sa version 1.0.18, hindi lang isang mabilis na patch [3] - Ang paglalabas ay kasama ang mga pagbabago sa contact tracing protocol frequency (mula sa bawat 2 oras hanggang bawat 7.5 minuto, binabawasan ang exposure time hanggang sa 93%) [3] - Nagdagdag ng karagdagang encryption layers para sa digital handshakes [3] - Nagbigay sa mga user ng opsyon na alisin ang mga pangalan ng device mula sa Bluetooth exposure [3] **4.
Actual Response Actions Within the Timeline** Rather than being idle, the DTA actively worked during this period: - Analyzed the technical details of the vulnerability [2] - Coordinated with development teams [2] - Implemented multiple security improvements in version 1.0.18, not just a quick patch [3] - The release included changes to contact tracing protocol frequency (from every 2 hours to every 7.5 minutes, reducing exposure time by up to 93%) [3] - Added additional encryption layers for digital handshakes [3] - Provided users the option to remove device names from Bluetooth exposure [3] **4.
 Mga Kasabay na Vulnerability na Natuklasan** Karagdagang Bluetooth privacy issues ang natukoy nina Jim Mussared at Eleanor McMurty na may kinalaman sa paghahatid ng unencrypted na device identifiers [2].
Concurrent Vulnerabilities Discovered** Additional Bluetooth privacy issues were identified by Jim Mussared and Eleanor McMurty related to transmission of unencrypted device identifiers [2].
 Ito ay inayos nang kasabay ng solusyon sa CVE-2020-12856. **5.
These were addressed concurrently with the CVE-2020-12856 fix. **5.
 Mas Malawak na Konteksto ng App Development** Hindi ito isang simpleng security patch kundi isang malaking update sa core Bluetooth contact tracing protocol ng app.
Broader Context of App Development** This was not a simple security patch but a substantial update to the app's core Bluetooth contact tracing protocol.
 Ang 21-araw na timeline ay kasama ang disenyo, pagpapatupad, pagsubok, at deployment ng mga pagbabagong ito. **6.
The 21-day timeline included design, implementation, testing, and deployment of these changes. **6.
 Konteksto ng Industriya para sa Mga Oras ng Tugon** Ang mga pamantayan sa industriya para sa tugon sa kritikal na vulnerability ay nag-iiba-iba: - Ang CISA (U.S.
Industry Context for Response Times** Industry standards for critical vulnerability response vary: - CISA (U.S.
 Cybersecurity and Infrastructure Security Agency) ay nagrerekomenda ng 15 araw para sa mga kritikal na vulnerability [4] - Karaniwang 90 araw ang responsableng disclosure windows mula sa vendor notification hanggang sa pampublikong paglalabas [4] - Ang mga high-risk vulnerability ay karaniwang may 30-araw na target ng tugon [4] Ang 21-araw na tugon ng DTA sa isang kritikal na vulnerability ay **nasakop ng mga pamantayan sa industriya** at aktwal na kumakatawan sa isang mabilis na tugon sa kabila ng pagiging kumplikado ng solusyon [4].
Cybersecurity and Infrastructure Security Agency) recommends 15 days for critical vulnerabilities [4] - Standard responsible disclosure windows are typically 90 days from vendor notification to public release [4] - High-risk vulnerabilities typically have 30-day response targets [4] The DTA's 21-day response to a critical vulnerability falls **within industry standards** and actually represents a relatively fast response given the complexity of the fix [4].

Pagsusuri ng Kredibilidad ng Pinagmulan

**Kritikal na Natuklasan**: Ang binanggit na ZDNet article URL (https://www.zdnet.com/article/dta-fixed-covidsafe-bluetooth-vulnerability-21-days-after-it-was-notified/) ay hindi ma-verify at hindi lumilitong umiiral sa mga available na archive o resulta ng paghahanap [5].
**Critical Finding**: The cited ZDNet article URL (https://www.zdnet.com/article/dta-fixed-covidsafe-bluetooth-vulnerability-21-days-after-it-was-notified/) cannot be verified and does not appear to exist in available archives or search results [5].
 Ang malawakang mga paghahanap sa maraming pinagmulan, kabilang ang mga cached na bersyon at archive ng ZDNet, ay walang ebidensya na ang artikulong ito ay nailathala. **Bakit mahalaga ito**: Bagama't ang pangunahing factual claim tungkol sa 21-araw na timeline ay wasto, ang pag-asa sa isang hindi ma-verify o posibleng pekeng pinagmulan ay humihina sa kredibilidad ng claim entry na ito.
Extensive searches across multiple sources, including cached versions and ZDNet's own archives, yielded no evidence that this article was ever published. **Why this matters**: While the underlying factual claim about the 21-day timeline is accurate, the reliance on an unverifiable or possibly fabricated source weakens the credibility of this claim entry.
 Ang claim ay maaaring kumakatawan sa mga tunay na katotohanan ngunit gumagamit ng hindi tamang citation na hindi ma-verify nang independyente. **Mga maaasahang pinagmulan para sa aktwal na timeline** ay kasama ang: - GitHub repository na nagdokumento ng vulnerability (alwentiu/COVIDSafe-CVE-2020-12856) - nilikha ng isa sa mga researcher na nakakita nito [2] - Coverage ng iTnews tungkol sa solusyon [3] - Opisyal na mga komunikasyon ng DTA [3] Ang mga pinagmulang ito ay nagbibigay ng mapapatunayang dokumentasyon ng Mayo 5 hanggang Mayo 26 na timeline.
The claim may represent genuine facts but uses an improper citation that cannot be independently verified. **Reliable sources for the actual timeline** include: - GitHub repository documenting the vulnerability (alwentiu/COVIDSafe-CVE-2020-12856) - created by one of the researchers who discovered it [2] - iTnews coverage of the fix [3] - Official DTA communications [3] These sources provide verifiable documentation of the May 5 to May 26 timeline.
⚖️

Paghahambing sa Labor

**Ginawa ba ng Labor ang katulad?** Pagsasaliksik na isinagawa: "Oras ng tugon sa cybersecurity vulnerability ng Labor government" at "Mga insidente sa seguridad ng Australian government contact tracing" **Natuklasan**: Ang Labor government ay may magkahalong tugon sa cybersecurity: Sa ilalim ng kasalukuyang Albanese Labor government (mula 2022), ang MyGov platform ng Services Australia ay nakaranas ng matagal-tagal na mga kahinaan sa seguridad na nanatili nang mas matagal kaysa 21 araw: - Higit sa 10,000 ulat ng pag-abuso sa MyGov account noong 2024, halos doble sa 2023 [6] - Ang hindi sapat na mga kontrol sa seguridad ay nagbigay-daan sa mga kriminal na i-link ang mga lehitimong account sa mga pekeng account [6] - Ang Australian National Audit Office (ANAO) report noong Hunyo 2024 ay nakakita na ang Services Australia ay hindi handa para sa "isang mahalaga o naiulat na insidente sa cybersecurity" [6] - Ang mga pagpapabuti sa seguridad (passkeys) ay idinagdag lamang sa MyGov noong Hulyo 2024, pagkatapos ng mga buwan ng tumataas na mga reklamo sa seguridad [6] Sa ilalim ng Rudd/Gillard Labor governments (2007-2013), mayroong parliamentary email hack noong 2011 na potensyal na nakompromiso ang mga computer ni PM Julia Gillard at iba pang ministro, ngunit may minimal na pampublikong impormasyon na umiiral tungkol sa timeline ng tugon o saklaw [6]. **Paghahambing**: Ang 21-araw na oras ng tugon ng COVIDSafe sa isang kilalang kahinaan ay mukhang mas mabuti kaysa sa: - Tugon ng Labor sa MyGov sa mga isyu sa seguridad ng account (mga buwan, hindi 21 araw) [6] - Kakayahang tumugon ng mga ahensya sa buong gobyerno sa mga insidente sa seguridad (ang ANAO audit ay nakakita na ang mga ahensya ay hindi handa) [6] Ang tugon ng DTA sa CVE-2020-12856 ay kumakatawan sa isang kompetente, pamantayan sa industriya na timeline, at tila mas tumutugon kaysa sa mga tugon sa seguridad ng Labor government sa mga katulad na isyu.
**Did Labor do something similar?** Search conducted: "Labor government cybersecurity vulnerability response time" and "Australian government contact tracing security incidents" **Finding**: The Labor government has had mixed cybersecurity responses: Under the current Albanese Labor government (since 2022), Services Australia's MyGov platform experienced prolonged security vulnerabilities that persisted far longer than 21 days: - More than 10,000 reports of MyGov account misuse in 2024, nearly double the 2023 figure [6] - Inadequate security controls allowed criminals to link legitimate accounts to fake accounts [6] - An Australian National Audit Office (ANAO) report in June 2024 found Services Australia was unprepared for "a significant or reportable cyber security incident" [6] - Security improvements (passkeys) were only added to MyGov in July 2024, after months of rising security complaints [6] Under the Rudd/Gillard Labor governments (2007-2013), there was a parliamentary email hack in 2011 that potentially compromised computers of PM Julia Gillard and other ministers, but minimal publicly available information exists about the response timeline or scope [6]. **Comparison**: The COVIDSafe 21-day response time to a known vulnerability appears significantly better than: - Labor's MyGov response to account security issues (months, not 21 days) [6] - Government-wide responsiveness to security incidents (ANAO audit found agencies unprepared) [6] The DTA's response to CVE-2020-12856 represents a competent, industry-standard timeline, and appears more responsive than Labor government security responses to comparable issues.
🌐

Balanseng Pananaw

Bagama't maaaring sabihin ng mga kritiko na ang 21-araw na oras ng tugon ay nag-aalala para sa isang kahinaan sa seguridad sa isang pampublikong kalusugang app, ang balanseng pagsusuri ay naglalantad ng ilang mahahalagang perspektiba: **Ang Kritikal na Perspektiba:** Maaaring mag-argumento ang mga kritiko na ang anumang pagkaantala sa pag-aayos ng isang kilalang kahinaan sa seguridad sa isang malawakang-deployed na pampublikong kalusugang app ay problema, lalo na ang isa na nagbibigay-daan sa pagsubaybay sa mga user [7].
While critics could argue that a 21-day response time is concerning for a security vulnerability in a public health app, a balanced assessment reveals several important perspectives: **The Critical Perspective:** Critics could argue that any delay in fixing a known security vulnerability in a widely-deployed public health app is problematic, particularly one enabling tracking of users [7].
 Ang mga contact tracing app ay humahawak ng sensitibong data sa kalusugan, at ang mga kahinaan ay dapat teoretikal ay agad na ma-patch. **Ang Operasyonal na Realidad:** Gayunpaman, ang tugon ng DTA ay sumasalamin sa responsableng mga praktika sa seguridad: 1.
Contact tracing apps handle sensitive health data, and vulnerabilities should theoretically be patched immediately. **The Operational Reality:** However, the DTA's response reflects responsible security practices: 1.
 Ang mga researcher ay sumunod sa mga protokol ng etikal na paglalahad sa halip na pampublikong pagkakahiya [2] 2.
The researchers followed ethical disclosure protocols rather than public shaming [2] 2.
 Ang solusyon ay hindi isang simpleng patch—itong ay kasama ang pagdidisenyo ng mga elemento ng core protocol [3] 3.
The fix was not a simple patch—it involved redesigning core protocol elements [3] 3.
 Ang oras ng tugon na 21 araw ay nasa loob ng mga pamantayan sa industriya (ang CISA ay nagrerekomenda ng 15 araw; karaniwang praktika ay 30-90 araw) [4] 4.
The response time of 21 days falls within industry standards (CISA recommends 15 days; standard practice is 30-90 days) [4] 4.
 Ang proseso ng koordinadong paglalahad ay pinigilan ang pagsasamantala sa panahon ng window habang inihahanda ang solusyon [2] 5.
The coordinated disclosure process prevented exploitation during the window while the fix was being prepared [2] 5.
 Ang huling paglalabas ay kasama ang komprehensibong pagpapabuti sa seguridad na lampas sa minimum na kinakailangang solusyon [3] **Pagsusuri ng mga Eksperto:** Ang mga security researcher na nakakita ng vulnerability ay hindi pampublikong kinondena ang timeline ng tugon.
The final release included comprehensive security improvements beyond the minimum necessary fix [3] **Expert Assessment:** Security researchers who identified the vulnerability did not publicly condemn the response timeline.
 Ang GitHub repository na nagdokumento ng CVE ay tila nasiyahan sa proseso ng koordinadong paglalahad at sa pagiging lubos ng solusyon [2]. **Komparatibong Konteksto:** Ang tugon na ito ay mas mabuti kaysa sa: - Kasalukuyang paghawak ng Labor government sa MyGov security (mga buwan vs. 21 araw) [6] - Seguridad ng pandaigdigang contact tracing app noong 2020 (marami ang mas malalang mga kahinaan na hindi naayos) [8] - Iba pang tugon sa cybersecurity ng gobyerno sa parehong mga partido (karaniwang mas mabagal) [6]
The GitHub repository documenting the CVE appears satisfied with the coordinated disclosure process and the thoroughness of the fix [2]. **Comparative Context:** This response compares favorably to: - Current Labor government handling of MyGov security (months vs. 21 days) [6] - Global contact tracing app security in 2020 (many had far worse vulnerabilities that went unfixed) [8] - Other government cybersecurity responses across both parties (typically slower) [6]

BAHAGYANG TOTOO

6.0

sa 10

Ang factual claim na umabot ng 21 araw para ayusin ang vulnerability ay wasto batay sa timeline (Mayo 5 hanggang Mayo 26, 2020).
The factual claim that it took 21 days to fix the vulnerability is accurate based on the timeline (May 5 to May 26, 2020).
 Gayunpaman, ang verdict ay "partially true" sa halip na "true" dahil sa mga sumusunod na dahilan: 1. **Ang binanggit na pinagmulan ay hindi ma-verify**: Ang ZDNet article URL na ibinigay ay hindi lumilitong umiiral, na pumipinsala sa kredibilidad ng sourcing ng claim [5] 2. **Ang pagbibigay-kahulugan ay nagpapahiwatig ng pagkakasala**: Ang pagkakabaybay ng claim ("umabot ng 21 araw") ay nagmumungkahi ng hindi katanggap-tanggap na pagkaantala, samantalang ang 21-araw na timeline ay aktwal na kumakatawan sa isang kompetente, pamantayan sa industriya na tugon [4] 3. **Kritikal ang konteksto**: Ang 21 araw ay hindi lang pag-aayos ng bug kundi pagdidisenyo ng mga security protocol, pagpapatupad ng karagdagang proteksyon, at pagsunod sa mga praktika ng responsableng paglalahad [2][3] 4. **Ang vulnerability ay kilala ngunit na-manage**: Hindi ito isang hindi natuklasang vulnerability na natuklasan ng mga external na umaatake—itong ay natuklasan sa pamamagitan ng responsableng pananaliksik at pinamahalaan sa pamamagitan ng koordinadong paglalahad [2]
However, the verdict is "partially true" rather than "true" for these reasons: 1. **The cited source cannot be verified**: The ZDNet article URL provided does not appear to exist, undermining the credibility of the claim's sourcing [5] 2. **The framing implies culpable negligence**: The claim's phrasing ("took 21 days") suggests unacceptable delays, when the 21-day timeline actually represents a competent, industry-standard response [4] 3. **Context is critical**: The 21 days involved not just fixing a bug but redesigning security protocols, implementing additional protections, and following responsible disclosure practices [2][3] 4. **The vulnerability was known but managed**: This was not an undetected vulnerability discovered by external attackers—it was discovered through responsible research and handled through coordinated disclosure [2]

Pamamaraan ng Rating Scale

1-3: MALI

Hindi tama sa katotohanan o malisyosong gawa-gawa.

4-6: BAHAGYA

May katotohanan ngunit kulang o baluktot ang konteksto.

7-9: HALOS TOTOO

Maliit na teknikal na detalye o isyu sa pagkakasulat.

10: TUMPAK

Perpektong na-verify at patas ayon sa konteksto.

Pamamaraan: Ang mga rating ay tinutukoy sa pamamagitan ng cross-referencing ng opisyal na mga rekord ng pamahalaan, independiyenteng mga organisasyong nag-fact-check, at mga primaryang dokumento.

Previous: C0191 Next: C0193