C0192
主張
“修復COVIDSafe應用程式的已知安全漏洞花了21天。”
原始來源: Matthew Davis
原始來源
✅ 事實查核
核心 hé xīn 主張 zhǔ zhāng 的 de 時間 shí jiān 線 xiàn 在 zài 事實 shì shí 上 shàng 是 shì 準確 zhǔn què 的 de , , 但 dàn 引用 yǐn yòng 的 de 資料 zī liào 來源 lái yuán 無法驗證 wú fǎ yàn zhèng 。 。
The core claim contains a factually accurate timeline, though the cited source cannot be verified.
實際 shí jì 事件 shì jiàn 經過 jīng guò 如下 rú xià : : The actual events are as follows:
A significant Bluetooth vulnerability (CVE-2020-12856) was identified in the COVIDSafe app's Android version that could allow attackers to silently bond with vulnerable phones and conduct long-term device tracking [1].
**Timeline of response:**
- **May 5, 2020**: Security researchers Jim Mussared (George Robotics) and Alwen Tiu (Australian National University) reported the vulnerability to the Digital Transformation Agency (DTA) [2]
- **May 18, 2020**: Initial technical analysis was shared with developer teams [2]
- **May 26, 2020**: The DTA released COVIDSafe version 1.0.18 with fixes to address the Bluetooth vulnerability [3]
This represents a **21-day response period from initial notification (May 5) to public release of the fix (May 26)** [2][3].
COVIDSafe COVIDSafe 應用 yīng yòng 程式 chéng shì 的 de Android Android 版本 bǎn běn 存在 cún zài 一個 yī gè 重大 zhòng dà 的 de 藍牙 lán yá 漏洞 lòu dòng ( ( CVE CVE - - 2020 2020 - - 12856 12856 ) ) , , 可能 kě néng 讓 ràng 攻擊者 gōng jī zhě 在 zài 不知情 bù zhī qíng 的 de 情況 qíng kuàng 下 xià 與 yǔ 易 yì 受 shòu 攻擊 gōng jī 的 de 手 shǒu 機配 jī pèi 對 duì , , 並進 bìng jìn 行長 xíng zhǎng 期裝置 qī zhuāng zhì 追 zhuī 蹤 zōng [ [ 1 1 ] ] 。 。 * * * * 回應 huí yīng 時間 shí jiān 線 xiàn : : * * * * - - * * * * 2020 2020 年 nián 5 5 月 yuè 5 5 日 rì * * * * : : 安全 ān quán 研究 yán jiū 人員 rén yuán Jim Jim Mussared Mussared ( ( George George Robotics Robotics ) ) 和 hé Alwen Alwen Tiu Tiu ( ( 澳洲 ào zhōu 國立 guó lì 大學 dà xué ) ) 向 xiàng 數位 shù wèi 轉型 zhuǎn xíng 局 jú ( ( DTA DTA ) ) 通報 tōng bào 此 cǐ 漏洞 lòu dòng [ [ 2 2 ] ] - - * * * * 2020 2020 年 nián 5 5 月 yuè 18 18 日 rì * * * * : : 初步 chū bù 技術 jì shù 分析 fēn xī 已 yǐ 與 yǔ 開 kāi 發團隊 fā tuán duì 分享 fēn xiǎng [ [ 2 2 ] ] - - * * * * 2020 2020 年 nián 5 5 月 yuè 26 26 日 rì * * * * : : DTA DTA 發布 fā bù COVIDSafe COVIDSafe 1.0 1.0 . . 18 18 版本 bǎn běn , , 修 xiū 復 fù 藍牙 lán yá 漏洞 lòu dòng [ [ 3 3 ] ] 這 zhè 代表 dài biǎo 從 cóng * * * * 初次 chū cì 通報 tōng bào ( ( 5 5 月 yuè 5 5 日 rì ) ) 到 dào 公開 gōng kāi 發布 fā bù 修補 xiū bǔ 程式 chéng shì ( ( 5 5 月 yuè 26 26 日 rì ) ) 共經過 gòng jīng guò 21 21 天 tiān * * * * [ [ 2 2 ] ] [ [ 3 3 ] ] 。 。 缺失的脈絡
此主張 cǐ zhǔ zhāng 忽略 hū lüè 了 le 幾個 jǐ gè 影響 yǐng xiǎng 如何 rú hé 評估 píng gū 這 zhè 一回 yī huí 應時間 yīng shí jiān 的 de 重要 zhòng yào 背景 bèi jǐng 因素 yīn sù : :
The claim omits several important contextual factors that affect how to evaluate this response time:
**1.
* * * * 1 1 . . 漏洞 lòu dòng 的 de 性質 xìng zhì 與 yǔ 嚴重 yán zhòng 程度 chéng dù * * * * Nature and Severity of the Vulnerability**
The vulnerability, while serious, was not immediately exploitable or affecting all devices.
雖然 suī rán 此 cǐ 漏洞 lòu dòng 嚴重 yán zhòng , , 但 dàn 並非 bìng fēi 立即 lì jí 可 kě 被 bèi 利用 lì yòng , , 也 yě 不會 bù huì 影響 yǐng xiǎng 所有 suǒ yǒu 裝置 zhuāng zhì 。 。 It required attackers to be in Bluetooth range of a device running the older version of the app [1].
攻擊者 gōng jī zhě 必須 bì xū 在 zài 運行 yùn xíng 舊版 jiù bǎn 應用 yīng yòng 程式 chéng shì 的 de 裝置 zhuāng zhì 藍牙範圍 lán yá fàn wéi 內 nèi 才能 cái néng 攻擊 gōng jī [ [ 1 1 ] ] 。 。 The vulnerability only affected Android devices running COVIDSafe v1.0.17 and earlier [1].
**2.
此 cǐ 漏洞 lòu dòng 僅影響 jǐn yǐng xiǎng 運行 yùn xíng COVIDSafe COVIDSafe v1.0 v1.0 . . 17 17 及 jí 更 gèng 早 zǎo 版本 bǎn běn 的 de Android Android 裝置 zhuāng zhì [ [ 1 1 ] ] 。 。 Responsible Disclosure Process**
The researchers followed responsible disclosure practices, reporting the vulnerability through DTA rather than publicly disclosing it, which allowed time for a coordinated fix [2].
* * * * 2 2 . . 負責任 fù zé rèn 的 de 披露 pī lù 流程 liú chéng * * * * A formal embargo window of approximately 28 days was established (May 19 to May 26, 2020) to allow developers to prepare patches without immediate public knowledge [2].
**3.
研究 yán jiū 人員 rén yuán 遵循 zūn xún 負責任 fù zé rèn 的 de 披露 pī lù 實務 shí wù , , 透過 tòu guò DTA DTA 而 ér 非公 fēi gōng 開 kāi 披露 pī lù 來 lái 通報 tōng bào 漏洞 lòu dòng , , 這為 zhè wèi 協調 xié diào 修 xiū 復 fù 爭取 zhēng qǔ 了 le 時間 shí jiān [ [ 2 2 ] ] 。 。 Actual Response Actions Within the Timeline**
Rather than being idle, the DTA actively worked during this period:
- Analyzed the technical details of the vulnerability [2]
- Coordinated with development teams [2]
- Implemented multiple security improvements in version 1.0.18, not just a quick patch [3]
- The release included changes to contact tracing protocol frequency (from every 2 hours to every 7.5 minutes, reducing exposure time by up to 93%) [3]
- Added additional encryption layers for digital handshakes [3]
- Provided users the option to remove device names from Bluetooth exposure [3]
**4.
建立 jiàn lì 了 le 約 yuē 28 28 天 tiān 的 de 正式 zhèng shì 禁運期 jìn yùn qī ( ( 2020 2020 年 nián 5 5 月 yuè 19 19 日至 rì zhì 5 5 月 yuè 26 26 日 rì ) ) , , 讓 ràng 開發 kāi fā 人員能 rén yuán néng 在 zài 未 wèi 立即 lì jí 公開 gōng kāi 的 de 情況 qíng kuàng 下 xià 準備 zhǔn bèi 修補 xiū bǔ 程式 chéng shì [ [ 2 2 ] ] 。 。 Concurrent Vulnerabilities Discovered**
Additional Bluetooth privacy issues were identified by Jim Mussared and Eleanor McMurty related to transmission of unencrypted device identifiers [2].
* * * * 3 3 . . 時間 shí jiān 線 xiàn 內 nèi 的 de 實際 shí jì 回應 huí yīng 行動 xíng dòng * * * * These were addressed concurrently with the CVE-2020-12856 fix.
**5.
DTA DTA 在 zài 此 cǐ 期間 qī jiān 並非 bìng fēi 閒置 xián zhì , , 而是 ér shì 積極 jī jí 行動 xíng dòng : : Broader Context of App Development**
This was not a simple security patch but a substantial update to the app's core Bluetooth contact tracing protocol.
- - 分析 fēn xī 漏洞 lòu dòng 的 de 技術 jì shù 細節 xì jié [ [ 2 2 ] ] The 21-day timeline included design, implementation, testing, and deployment of these changes.
**6.
- - 與 yǔ 開 kāi 發團隊 fā tuán duì 協調 xié diào [ [ 2 2 ] ] Industry Context for Response Times**
Industry standards for critical vulnerability response vary:
- CISA (U.S.
- - 在 zài 1.0 1.0 . . 18 18 版本 bǎn běn 中實施 zhōng shí shī 多項 duō xiàng 安全 ān quán 改進 gǎi jìn , , 而 ér 非僅 fēi jǐn 是 shì 快速 kuài sù 修補 xiū bǔ [ [ 3 3 ] ] Cybersecurity and Infrastructure Security Agency) recommends 15 days for critical vulnerabilities [4]
- Standard responsible disclosure windows are typically 90 days from vendor notification to public release [4]
- High-risk vulnerabilities typically have 30-day response targets [4]
The DTA's 21-day response to a critical vulnerability falls **within industry standards** and actually represents a relatively fast response given the complexity of the fix [4].
- - 發布 fā bù 內容 nèi róng 包括 bāo kuò 更改 gēng gǎi 接觸 jiē chù 追 zhuī 蹤 zōng 協 xié 議 yì 頻 pín 率 lǜ ( ( 從 cóng 每 měi 2 2 小時 xiǎo shí 改為 gǎi wèi 每 měi 7.5 7.5 分鐘 fēn zhōng , , 將 jiāng 暴露 bào lù 時間 shí jiān 減少 jiǎn shǎo 高達 gāo dá 93% 93% ) ) [ [ 3 3 ] ] - - 為 wèi 數位 shù wèi 握手 wò shǒu 增加 zēng jiā 額外 é wài 加密 jiā mì 層 céng [ [ 3 3 ] ] - - 讓 ràng 用戶 yòng hù 可選擇 kě xuǎn zé 從 cóng 藍牙 lán yá 暴露 bào lù 中 zhōng 移除 yí chú 裝置 zhuāng zhì 名稱 míng chēng [ [ 3 3 ] ] * * * * 4 4 . . 同時 tóng shí 發現 fā xiàn 的 de 其他 qí tā 漏洞 lòu dòng * * * * Jim Jim Mussared Mussared 和 hé Eleanor Eleanor McMurty McMurty 發現 fā xiàn 了 le 與 yǔ 傳輸 chuán shū 未 wèi 加密 jiā mì 裝置識 zhuāng zhì shí 別碼 bié mǎ 相關 xiāng guān 的 de 其他 qí tā 藍牙 lán yá 隱私 yǐn sī 問題 wèn tí [ [ 2 2 ] ] 。 。 這些 zhè xiē 問題 wèn tí 與 yǔ CVE CVE - - 2020 2020 - - 12856 12856 的 de 修 xiū 復 fù 同時 tóng shí 得到 dé dào 解決 jiě jué 。 。 * * * * 5 5 . . 應用 yīng yòng 程式 chéng shì 開發 kāi fā 的 de 更 gèng 廣泛 guǎng fàn 背景 bèi jǐng * * * * 這 zhè 不是 bú shì 簡單 jiǎn dān 的 de 安全 ān quán 修補 xiū bǔ , , 而是 ér shì 對 duì 應用 yīng yòng 程式 chéng shì 核心 hé xīn 藍牙 lán yá 接觸 jiē chù 追 zhuī 蹤 zōng 協 xié 議 yì 的 de 重大 zhòng dà 更新 gēng xīn 。 。 21 21 天 tiān 的 de 時間 shí jiān 線 xiàn 包括 bāo kuò 這些 zhè xiē 變 biàn 更 gèng 的 de 設計 shè jì 、 、 實施 shí shī 、 、 測試 cè shì 和 hé 部署 bù shǔ 。 。 * * * * 6 6 . . 回應 huí yīng 時間 shí jiān 的 de 產業 chǎn yè 背景 bèi jǐng * * * * 產業 chǎn yè 對 duì 關鍵 guān jiàn 漏洞 lòu dòng 回應 huí yīng 的 de 標準 biāo zhǔn 各不相同 gè bù xiāng tóng : : - - 美國 měi guó 網路 wǎng lù 安全 ān quán 與 yǔ 基礎 jī chǔ 設施 shè shī 安全局 ān quán jú ( ( CISA CISA ) ) 建議 jiàn yì 關鍵 guān jiàn 漏洞 lòu dòng 在 zài 15 15 天內 tiān nèi 修 xiū 復 fù [ [ 4 4 ] ] - - 標準 biāo zhǔn 的 de 負責任 fù zé rèn 披露 pī lù 窗口 chuāng kǒu 通常 tōng cháng 為 wèi 從 cóng 通知 tōng zhī 廠商到 chǎng shāng dào 公開 gōng kāi 發布 fā bù 的 de 90 90 天 tiān [ [ 4 4 ] ] - - 高風險 gāo fēng xiǎn 漏洞 lòu dòng 通常 tōng cháng 有 yǒu 30 30 天 tiān 的 de 回應 huí yīng 目標 mù biāo [ [ 4 4 ] ] DTA DTA 對 duì 關鍵 guān jiàn 漏洞 lòu dòng 的 de 21 21 天回 tiān huí 應 yīng * * * * 符合 fú hé 產業 chǎn yè 標準 biāo zhǔn * * * * , , 考慮 kǎo lǜ 到 dào 修 xiū 復 fù 的 de 複 fù 雜性 zá xìng , , 實際 shí jì 上 shàng 代表 dài biǎo 相對 xiāng duì 快速 kuài sù 的 de 回應 huí yīng [ [ 4 4 ] ] 。 。 來源可信度評估
* * * * 重大 zhòng dà 發現 fā xiàn * * * * : : 引用 yǐn yòng 的 de ZDNet ZDNet 文章 wén zhāng 網址 wǎng zhǐ ( ( https https : : / / / / www www . . zdnet zdnet . . com com / / article article / / dta dta - - fixed fixed - - covidsafe covidsafe - - bluetooth bluetooth - - vulnerability vulnerability - - 21 21 - - days days - - after after - - it it - - was was - - notified notified / / ) ) 無法驗證 wú fǎ yàn zhèng , , 在 zài 可用 kě yòng 檔案 dàng àn 或 huò 搜 sōu 尋結果 xún jié guǒ 中 zhōng 似乎 sì hū 不 bù 存在 cún zài [ [ 5 5 ] ] 。 。
**Critical Finding**: The cited ZDNet article URL (https://www.zdnet.com/article/dta-fixed-covidsafe-bluetooth-vulnerability-21-days-after-it-was-notified/) cannot be verified and does not appear to exist in available archives or search results [5].
在 zài 多個 duō gè 來源 lái yuán ( ( 包括 bāo kuò 快取 kuài qǔ 版本 bǎn běn 和 hé ZDNet ZDNet 本身 běn shēn 的 de 檔案 dàng àn ) ) 進行 jìn xíng 的 de 廣泛 guǎng fàn 搜尋 sōu xún , , 均 jūn 未 wèi 發現 fā xiàn 該 gāi 文章 wén zhāng 曾 céng 發布 fā bù 的 de 證據 zhèng jù 。 。 Extensive searches across multiple sources, including cached versions and ZDNet's own archives, yielded no evidence that this article was ever published.
**Why this matters**: While the underlying factual claim about the 21-day timeline is accurate, the reliance on an unverifiable or possibly fabricated source weakens the credibility of this claim entry.
* * * * 為何 wèi hé 重要 zhòng yào * * * * : : 雖然關 suī rán guān 於 yú 21 21 天時間 tiān shí jiān 線 xiàn 的 de 基礎 jī chǔ 事 shì 實主張 shí zhǔ zhāng 是 shì 準確 zhǔn què 的 de , , 但 dàn 依賴 yī lài 無法驗證 wú fǎ yàn zhèng 或 huò 可能 kě néng 捏造 niē zào 的 de 來源 lái yuán 削弱 xuē ruò 了 le 此主 cǐ zhǔ 張條 zhāng tiáo 目的 mù dì 可信度 kě xìn dù 。 。 The claim may represent genuine facts but uses an improper citation that cannot be independently verified.
**Reliable sources for the actual timeline** include:
- GitHub repository documenting the vulnerability (alwentiu/COVIDSafe-CVE-2020-12856) - created by one of the researchers who discovered it [2]
- iTnews coverage of the fix [3]
- Official DTA communications [3]
These sources provide verifiable documentation of the May 5 to May 26 timeline.
主張 zhǔ zhāng 可能 kě néng 代表 dài biǎo 真實 zhēn shí 事實 shì shí , , 但 dàn 使用 shǐ yòng 了 le 無法 wú fǎ 獨立驗證 dú lì yàn zhèng 的 de 不當 bù dāng 引用 yǐn yòng 。 。 * * * * 實際 shí jì 時間 shí jiān 線 xiàn 的 de 可靠 kě kào 來源 lái yuán * * * * 包括 bāo kuò : : - - 記錄 jì lù 漏洞 lòu dòng 的 de GitHub GitHub 儲存庫 chǔ cún kù ( ( alwentiu alwentiu / / COVIDSafe COVIDSafe - - CVE CVE - - 2020 2020 - - 12856 12856 ) ) — — — — 由 yóu 發現 fā xiàn 漏洞 lòu dòng 的 de 研究 yán jiū 人員 rén yuán 之一 zhī yī 建立 jiàn lì [ [ 2 2 ] ] - - iTnews iTnews 關於修 guān yú xiū 復 fù 的 de 報導 bào dǎo [ [ 3 3 ] ] - - DTA DTA 官方 guān fāng 通訊 tōng xùn [ [ 3 3 ] ] 這些 zhè xiē 來源 lái yuán 提供 tí gōng 5 5 月 yuè 5 5 日至 rì zhì 5 5 月 yuè 26 26 日時間 rì shí jiān 線 xiàn 的 de 可驗證 kě yàn zhèng 文件 wén jiàn 。 。 ⚖️
Labor 比較
* * * * Labor Labor 是否 shì fǒu 做 zuò 過類 guò lèi 似的 shì de 事 shì ? ?
**Did Labor do something similar?**
Search conducted: "Labor government cybersecurity vulnerability response time" and "Australian government contact tracing security incidents"
**Finding**: The Labor government has had mixed cybersecurity responses:
Under the current Albanese Labor government (since 2022), Services Australia's MyGov platform experienced prolonged security vulnerabilities that persisted far longer than 21 days:
- More than 10,000 reports of MyGov account misuse in 2024, nearly double the 2023 figure [6]
- Inadequate security controls allowed criminals to link legitimate accounts to fake accounts [6]
- An Australian National Audit Office (ANAO) report in June 2024 found Services Australia was unprepared for "a significant or reportable cyber security incident" [6]
- Security improvements (passkeys) were only added to MyGov in July 2024, after months of rising security complaints [6]
Under the Rudd/Gillard Labor governments (2007-2013), there was a parliamentary email hack in 2011 that potentially compromised computers of PM Julia Gillard and other ministers, but minimal publicly available information exists about the response timeline or scope [6].
**Comparison**: The COVIDSafe 21-day response time to a known vulnerability appears significantly better than:
- Labor's MyGov response to account security issues (months, not 21 days) [6]
- Government-wide responsiveness to security incidents (ANAO audit found agencies unprepared) [6]
The DTA's response to CVE-2020-12856 represents a competent, industry-standard timeline, and appears more responsive than Labor government security responses to comparable issues.
* * * * 搜尋內容 sōu xún nèi róng : : 「 「 Labor Labor 政府 zhèng fǔ 網路 wǎng lù 安全漏洞 ān quán lòu dòng 回應 huí yīng 時間 shí jiān 」 」 及 jí 「 「 澳洲 ào zhōu 政府 zhèng fǔ 接觸 jiē chù 追 zhuī 蹤 zōng 安全事件 ān quán shì jiàn 」 」 * * * * 發現 fā xiàn * * * * : : Labor Labor 政府 zhèng fǔ 在 zài 網路 wǎng lù 安全 ān quán 回應 huí yīng 方面 fāng miàn 表現 biǎo xiàn 參差 cān chà 不齊 bù qí : : 在 zài 現任 xiàn rèn Albanese Albanese Labor Labor 政府 zhèng fǔ ( ( 2022 2022 年 nián 起 qǐ ) ) 領導下 lǐng dǎo xià , , Services Services Australia Australia 的 de MyGov MyGov 平台 píng tái 出現 chū xiàn 持續 chí xù 時間 shí jiān 遠超 yuǎn chāo 21 21 天 tiān 的 de 安全漏洞 ān quán lòu dòng : : - - 2024 2024 年 nián 有 yǒu 超過 chāo guò 10 10 , , 000 000 起 qǐ MyGov MyGov 帳號 zhàng hào 濫用 làn yòng 通報 tōng bào , , 較 jiào 2023 2023 年 nián 增加 zēng jiā 近 jìn 一倍 yí bèi [ [ 6 6 ] ] - - 安全控制 ān quán kòng zhì 不足 bù zú 讓 ràng 犯罪 fàn zuì 份子 fèn zi 得以 dé yǐ 將 jiāng 合法 hé fǎ 帳號 zhàng hào 連結 lián jié 到 dào 假 jiǎ 帳號 zhàng hào [ [ 6 6 ] ] - - 澳洲 ào zhōu 國家 guó jiā 審計署 shěn jì shǔ ( ( ANAO ANAO ) ) 2024 2024 年 nián 6 6 月 yuè 的 de 報告 bào gào 發現 fā xiàn Services Services Australia Australia 對 duì 「 「 重大 zhòng dà 或 huò 可 kě 通報 tōng bào 的 de 網路 wǎng lù 安全事件 ān quán shì jiàn 」 」 準備 zhǔn bèi 不足 bù zú [ [ 6 6 ] ] - - 安全 ān quán 改進 gǎi jìn ( ( 通行 tōng xíng 密鑰 mì yào ) ) 直到 zhí dào 2024 2024 年 nián 7 7 月 yuè 才 cái 加入 jiā rù MyGov MyGov , , 此前 cǐ qián 數月 shù yuè 安全 ān quán 投訴 tóu sù 持續 chí xù 上升 shàng shēng [ [ 6 6 ] ] 在 zài Rudd Rudd / / Gillard Gillard Labor Labor 政府 zhèng fǔ ( ( 2007 2007 - - 2013 2013 年 nián ) ) 時期 shí qī , , 2011 2011 年 nián 曾 céng 發生 fā shēng 國會 guó huì 電子 diàn zi 郵件 yóu jiàn 遭駭 zāo hài 事件 shì jiàn , , 可能 kě néng 危及 wēi jí 總理 zǒng lǐ Julia Julia Gillard Gillard 及其 jí qí 他部長 tā bù zhǎng 的 de 電腦 diàn nǎo , , 但關 dàn guān 於 yú 回應 huí yīng 時間 shí jiān 線 xiàn 或 huò 範圍 fàn wéi 的 de 公開 gōng kāi 資訊 zī xùn 極少 jí shǎo [ [ 6 6 ] ] 。 。 * * * * 比較 bǐ jiào * * * * : : COVIDSafe COVIDSafe 的 de 21 21 天 tiān 已知 yǐ zhī 漏洞 lòu dòng 回應 huí yīng 時間 shí jiān 明顯 míng xiǎn 優 yōu 於 yú : : - - Labor Labor 對 duì MyGov MyGov 帳號 zhàng hào 安全 ān quán 問題 wèn tí 的 de 回應 huí yīng ( ( 數月 shù yuè , , 而 ér 非 fēi 21 21 天 tiān ) ) [ [ 6 6 ] ] - - 政府 zhèng fǔ 整體 zhěng tǐ 對 duì 安全事件 ān quán shì jiàn 的 de 回應 huí yīng 能力 néng lì ( ( ANAO ANAO 審計 shěn jì 發現 fā xiàn 機構 jī gòu 準備 zhǔn bèi 不足 bù zú ) ) [ [ 6 6 ] ] DTA DTA 對 duì CVE CVE - - 2020 2020 - - 12856 12856 的 de 回應 huí yīng 代表 dài biǎo 稱職 chēng zhí 的 de 、 、 符合 fú hé 產業 chǎn yè 標準 biāo zhǔn 的 de 時間 shí jiān 線 xiàn , , 且 qiě 比 bǐ Labor Labor 政府 zhèng fǔ 對類 duì lèi 似 shì 問題 wèn tí 的 de 安全 ān quán 回應 huí yīng 更 gèng 為 wèi 迅速 xùn sù 。 。 🌐
平衡觀點
雖然批 suī rán pī 評者 píng zhě 可能 kě néng 認為 rèn wèi 21 21 天 tiān 的 de 回應 huí yīng 時間 shí jiān 對 duì 於 yú 公共 gōng gòng 衛生 wèi shēng 應用 yīng yòng 程式 chéng shì 的 de 安全漏洞 ān quán lòu dòng 令人 lìng rén 擔憂 dān yōu , , 但 dàn 平衡 píng héng 的 de 評估 píng gū 揭示 jiē shì 了 le 幾個 jǐ gè 重要 zhòng yào 觀點 guān diǎn : :
While critics could argue that a 21-day response time is concerning for a security vulnerability in a public health app, a balanced assessment reveals several important perspectives:
**The Critical Perspective:**
Critics could argue that any delay in fixing a known security vulnerability in a widely-deployed public health app is problematic, particularly one enabling tracking of users [7].
* * * * 批評 pī píng 觀點 guān diǎn : : * * * * Contact tracing apps handle sensitive health data, and vulnerabilities should theoretically be patched immediately.
**The Operational Reality:**
However, the DTA's response reflects responsible security practices:
1.
批 pī 評者 píng zhě 可能 kě néng 認為 rèn wèi , , 在 zài 廣泛 guǎng fàn 部署 bù shǔ 的 de 公共 gōng gòng 衛生 wèi shēng 應用 yīng yòng 程式 chéng shì 中 zhōng , , 修 xiū 復 fù 已知 yǐ zhī 安全漏洞 ān quán lòu dòng 的 de 任何 rèn hé 延誤 yán wù 都 dōu 是 shì 有 yǒu 問題 wèn tí 的 de , , 特別 tè bié 是 shì 涉及 shè jí 使用 shǐ yòng 戶 hù 追 zhuī 蹤 zōng 成 chéng 為 wèi 可能 kě néng 的 de 漏洞 lòu dòng [ [ 7 7 ] ] 。 。 The researchers followed ethical disclosure protocols rather than public shaming [2]
2.
接觸 jiē chù 追 zhuī 蹤 zōng 應 yīng 用 yòng 程式 chéng shì 處理 chù lǐ 敏感 mǐn gǎn 健康 jiàn kāng 資料 zī liào , , 理論 lǐ lùn 上 shàng 應 yīng 立即 lì jí 修補 xiū bǔ 漏洞 lòu dòng 。 。 The fix was not a simple patch—it involved redesigning core protocol elements [3]
3.
* * * * 營運 yíng yùn 現實 xiàn shí : : * * * * The response time of 21 days falls within industry standards (CISA recommends 15 days; standard practice is 30-90 days) [4]
4.
然而 rán ér , , DTA DTA 的 de 回應 huí yīng 反映 fǎn yìng 了 le 負責任 fù zé rèn 的 de 安全 ān quán 實務 shí wù : : The coordinated disclosure process prevented exploitation during the window while the fix was being prepared [2]
5.
1 1 . . 研究 yán jiū 人員 rén yuán 遵循 zūn xún 道德 dào dé 披露 pī lù 協議 xié yì , , 而 ér 非公 fēi gōng 開 kāi 羞辱 xiū rǔ [ [ 2 2 ] ] The final release included comprehensive security improvements beyond the minimum necessary fix [3]
**Expert Assessment:**
Security researchers who identified the vulnerability did not publicly condemn the response timeline.
2 2 . . 修 xiū 復 fù 不是 bú shì 簡單 jiǎn dān 的 de 修補 xiū bǔ — — — — 涉及 shè jí 重新 chóng xīn 設計 shè jì 核心 hé xīn 協議 xié yì 元素 yuán sù [ [ 3 3 ] ] The GitHub repository documenting the CVE appears satisfied with the coordinated disclosure process and the thoroughness of the fix [2].
**Comparative Context:**
This response compares favorably to:
- Current Labor government handling of MyGov security (months vs. 21 days) [6]
- Global contact tracing app security in 2020 (many had far worse vulnerabilities that went unfixed) [8]
- Other government cybersecurity responses across both parties (typically slower) [6]
3 3 . . 21 21 天 tiān 的 de 回應 huí yīng 時間 shí jiān 符合 fú hé 產業 chǎn yè 標準 biāo zhǔn ( ( CISA CISA 建議 jiàn yì 15 15 天 tiān ; ; 標準 biāo zhǔn 實務為 shí wù wèi 30 30 - - 90 90 天 tiān ) ) [ [ 4 4 ] ] 4 4 . . 協調 xié diào 披露 pī lù 流程 liú chéng 防止 fáng zhǐ 在 zài 修 xiū 復 fù 準備 zhǔn bèi 期間 qī jiān 被 bèi 利用 lì yòng [ [ 2 2 ] ] 5 5 . . 最終 zuì zhōng 發布 fā bù 包括 bāo kuò 超越 chāo yuè 最低 zuì dī 必要 bì yào 修 xiū 復 fù 的 de 全面 quán miàn 安全 ān quán 改進 gǎi jìn [ [ 3 3 ] ] * * * * 專家 zhuān jiā 評估 píng gū : : * * * * 發現 fā xiàn 漏洞 lòu dòng 的 de 安全 ān quán 研究 yán jiū 人員並 rén yuán bìng 未公開 wèi gōng kāi 譴責 qiǎn zé 回應 huí yīng 時間 shí jiān 線 xiàn 。 。 記錄 jì lù CVE CVE 的 de GitHub GitHub 儲存庫 chǔ cún kù 似乎 sì hū 對 duì 協調 xié diào 披露 pī lù 流程 liú chéng 和 hé 修 xiū 復 fù 的 de 徹底性 chè dǐ xìng 感到 gǎn dào 滿意 mǎn yì [ [ 2 2 ] ] 。 。 * * * * 比較 bǐ jiào 背景 bèi jǐng : : * * * * 此回 cǐ huí 應優 yīng yōu 於 yú : : - - 現任 xiàn rèn Labor Labor 政府 zhèng fǔ 對 duì MyGov MyGov 安全 ān quán 的 de 處理 chù lǐ ( ( 數月 shù yuè vs vs 21 21 天 tiān ) ) [ [ 6 6 ] ] - - 2020 2020 年 nián 全球 quán qiú 接觸 jiē chù 追 zhuī 蹤 zōng 應 yīng 用 yòng 程式 chéng shì 的 de 安全性 ān quán xìng ( ( 許多 xǔ duō 應用 yīng yòng 程式 chéng shì 有 yǒu 更 gèng 嚴重 yán zhòng 的 de 漏洞 lòu dòng 未修 wèi xiū 復 fù ) ) [ [ 8 8 ] ] - - 兩黨 liǎng dǎng 的 de 其他 qí tā 政府 zhèng fǔ 網路 wǎng lù 安全 ān quán 回應 huí yīng ( ( 通常 tōng cháng 較慢 jiào màn ) ) [ [ 6 6 ] ] 部分真實
6.0
/ 10
漏洞 lòu dòng 修 xiū 復 fù 花費 huā fèi 21 21 天 tiān 的 de 事 shì 實主張 shí zhǔ zhāng , , 根據 gēn jù 時間 shí jiān 線 xiàn ( ( 2020 2020 年 nián 5 5 月 yuè 5 5 日至 rì zhì 5 5 月 yuè 26 26 日 rì ) ) 是 shì 準確 zhǔn què 的 de 。 。
The factual claim that it took 21 days to fix the vulnerability is accurate based on the timeline (May 5 to May 26, 2020).
然而 rán ér , , 判決 pàn jué 為 wèi 「 「 部分 bù fèn 屬實 shǔ shí 」 」 而 ér 非 fēi 「 「 屬實 shǔ shí 」 」 , , 原因 yuán yīn 如下 rú xià : : However, the verdict is "partially true" rather than "true" for these reasons:
1. **The cited source cannot be verified**: The ZDNet article URL provided does not appear to exist, undermining the credibility of the claim's sourcing [5]
2. **The framing implies culpable negligence**: The claim's phrasing ("took 21 days") suggests unacceptable delays, when the 21-day timeline actually represents a competent, industry-standard response [4]
3. **Context is critical**: The 21 days involved not just fixing a bug but redesigning security protocols, implementing additional protections, and following responsible disclosure practices [2][3]
4. **The vulnerability was known but managed**: This was not an undetected vulnerability discovered by external attackers—it was discovered through responsible research and handled through coordinated disclosure [2]
1 1 . . * * * * 引用 yǐn yòng 的 de 資料 zī liào 來源 lái yuán 無法驗證 wú fǎ yàn zhèng * * * * : : 提供 tí gōng 的 de ZDNet ZDNet 文章 wén zhāng 網址 wǎng zhǐ 似乎 sì hū 不 bù 存在 cún zài , , 削弱 xuē ruò 了 le 主張 zhǔ zhāng 來源 lái yuán 的 de 可信度 kě xìn dù [ [ 5 5 ] ] 2 2 . . * * * * 表述 biǎo shù 暗示 àn shì 應受 yīng shòu 指責 zhǐ zé 的 de 疏忽 shū hū * * * * : : 主題 zhǔ tí 的 de 措辭 cuò cí ( ( 「 「 花 huā 了 le 21 21 天 tiān 」 」 ) ) 暗示 àn shì 不可 bù kě 接受 jiē shòu 的 de 延誤 yán wù , , 而 ér 21 21 天 tiān 的 de 時間 shí jiān 線 xiàn 實際 shí jì 上 shàng 代表 dài biǎo 稱職 chēng zhí 的 de 、 、 符合 fú hé 產業 chǎn yè 標準 biāo zhǔn 的 de 回應 huí yīng [ [ 4 4 ] ] 3 3 . . * * * * 背景 bèi jǐng 至關 zhì guān 重要 zhòng yào * * * * : : 這 zhè 21 21 天不僅 tiān bù jǐn 是 shì 修 xiū 復 fù 錯誤 cuò wù , , 還 hái 包括 bāo kuò 重新 chóng xīn 設計 shè jì 安全 ān quán 協議 xié yì 、 、 實施 shí shī 額外 é wài 保護 bǎo hù 措施 cuò shī , , 以及 yǐ jí 遵循 zūn xún 負責任 fù zé rèn 的 de 披露 pī lù 實務 shí wù [ [ 2 2 ] ] [ [ 3 3 ] ] 4 4 . . * * * * 漏洞 lòu dòng 雖 suī 已知 yǐ zhī 但 dàn 已 yǐ 受控 shòu kòng * * * * : : 這 zhè 不是 bú shì 被 bèi 外部 wài bù 攻擊者 gōng jī zhě 發現 fā xiàn 的 de 未 wèi 檢測 jiǎn cè 漏洞 lòu dòng — — — — 而是 ér shì 透過 tòu guò 負責任 fù zé rèn 的 de 研究 yán jiū 發現 fā xiàn , , 並透過 bìng tòu guò 協調 xié diào 披露 pī lù 處理 chù lǐ [ [ 2 2 ] ] 最終分數
6.0
/ 10
部分真實
漏洞 lòu dòng 修 xiū 復 fù 花費 huā fèi 21 21 天 tiān 的 de 事 shì 實主張 shí zhǔ zhāng , , 根據 gēn jù 時間 shí jiān 線 xiàn ( ( 2020 2020 年 nián 5 5 月 yuè 5 5 日至 rì zhì 5 5 月 yuè 26 26 日 rì ) ) 是 shì 準確 zhǔn què 的 de 。 。
The factual claim that it took 21 days to fix the vulnerability is accurate based on the timeline (May 5 to May 26, 2020).
然而 rán ér , , 判決 pàn jué 為 wèi 「 「 部分 bù fèn 屬實 shǔ shí 」 」 而 ér 非 fēi 「 「 屬實 shǔ shí 」 」 , , 原因 yuán yīn 如下 rú xià : : However, the verdict is "partially true" rather than "true" for these reasons:
1. **The cited source cannot be verified**: The ZDNet article URL provided does not appear to exist, undermining the credibility of the claim's sourcing [5]
2. **The framing implies culpable negligence**: The claim's phrasing ("took 21 days") suggests unacceptable delays, when the 21-day timeline actually represents a competent, industry-standard response [4]
3. **Context is critical**: The 21 days involved not just fixing a bug but redesigning security protocols, implementing additional protections, and following responsible disclosure practices [2][3]
4. **The vulnerability was known but managed**: This was not an undetected vulnerability discovered by external attackers—it was discovered through responsible research and handled through coordinated disclosure [2]
1 1 . . * * * * 引用 yǐn yòng 的 de 資料 zī liào 來源 lái yuán 無法驗證 wú fǎ yàn zhèng * * * * : : 提供 tí gōng 的 de ZDNet ZDNet 文章 wén zhāng 網址 wǎng zhǐ 似乎 sì hū 不 bù 存在 cún zài , , 削弱 xuē ruò 了 le 主張 zhǔ zhāng 來源 lái yuán 的 de 可信度 kě xìn dù [ [ 5 5 ] ] 2 2 . . * * * * 表述 biǎo shù 暗示 àn shì 應受 yīng shòu 指責 zhǐ zé 的 de 疏忽 shū hū * * * * : : 主題 zhǔ tí 的 de 措辭 cuò cí ( ( 「 「 花 huā 了 le 21 21 天 tiān 」 」 ) ) 暗示 àn shì 不可 bù kě 接受 jiē shòu 的 de 延誤 yán wù , , 而 ér 21 21 天 tiān 的 de 時間 shí jiān 線 xiàn 實際 shí jì 上 shàng 代表 dài biǎo 稱職 chēng zhí 的 de 、 、 符合 fú hé 產業 chǎn yè 標準 biāo zhǔn 的 de 回應 huí yīng [ [ 4 4 ] ] 3 3 . . * * * * 背景 bèi jǐng 至關 zhì guān 重要 zhòng yào * * * * : : 這 zhè 21 21 天不僅 tiān bù jǐn 是 shì 修 xiū 復 fù 錯誤 cuò wù , , 還 hái 包括 bāo kuò 重新 chóng xīn 設計 shè jì 安全 ān quán 協議 xié yì 、 、 實施 shí shī 額外 é wài 保護 bǎo hù 措施 cuò shī , , 以及 yǐ jí 遵循 zūn xún 負責任 fù zé rèn 的 de 披露 pī lù 實務 shí wù [ [ 2 2 ] ] [ [ 3 3 ] ] 4 4 . . * * * * 漏洞 lòu dòng 雖 suī 已知 yǐ zhī 但 dàn 已 yǐ 受控 shòu kòng * * * * : : 這 zhè 不是 bú shì 被 bèi 外部 wài bù 攻擊者 gōng jī zhě 發現 fā xiàn 的 de 未 wèi 檢測 jiǎn cè 漏洞 lòu dòng — — — — 而是 ér shì 透過 tòu guò 負責任 fù zé rèn 的 de 研究 yán jiū 發現 fā xiàn , , 並透過 bìng tòu guò 協調 xié diào 披露 pī lù 處理 chù lǐ [ [ 2 2 ] ] 評分量表方法論
1-3: 虛假
事實不正確或惡意捏造。
4-6: 部分
有部分真實性,但缺乏或扭曲了背景。
7-9: 大致屬實
微小的技術性問題或措辭問題。
10: 準確
完美驗證且在情境上公正。
方法論: 評分通過交叉比對官方政府記錄、獨立事實查核組織和原始來源文件來確定。