Pubblicato il 2 aprile 2026

Panoramica AGOV PenTest & Bug Bounty 2023–2025

Panoramica dei test di penetrazione (PenTest) eseguiti e pianificati per AGOV. I PenTest sono stati condotti da armasuisse in coordinamento con i fornitori di software, i gestori dei sistemi e il responsabile di business.

Cronologia dei PenTest AGOV

2023 (rapporto del 24.01.2024): PenTest I

  • Focus: Verifica completa dei sistemi core AGOV, inclusi Account Management (me.agov.admin.ch), Identity Provider (idp.agov.admin.ch) e Authentication Service (auth.agov.admin.ch). Il test è stato eseguito come test white-box parziale.

Febbraio 2024: PenTest II

  • Focus: Questa fase si è concentrata sul sistema «HeloITSM».

Maggio 2024: PenTest III (Parte 1)

  • Focus: Verifica del componente AGOV Counter durante le settimane di calendario 19 e 20.

Giugno 2024: PenTest III pianificato (Parte 2)

  • Dettagli: Inizialmente previsto per AGOV Connect e re-test dell’IdP. Tuttavia, questi test non hanno potuto essere eseguiti come pianificato e sono stati rinviati al PenTest IV.

Settembre – ottobre 2024: PenTest IV

  • Focus: Verifica del Trust Broker (BTB/STB) nonché dei moduli AGOV Connect, View, Access App e del Nevis IDM.

Aprile – maggio 2025: Iterazione n. 1

  • Focus: Processi di recupero account AGOV (SMS, OBL, video) dal 28 aprile al 2 maggio.

Ottobre 2025: Iterazione n. 2

  • Focus: Workflow di login e-ID e integrazione, inclusi il Verifier Management Service e OID4VP (OpenID for Verifiable Presentations).

Risultati per PenTest

PenTest I (2023)

Sono state identificate complessivamente 12 vulnerabilità:

  • Address Information Disclosure (Alto): esposizione di dati di indirizzo tramite risposte API.
  • Address Verification Rate Limiting (Alto): assenza di limitazione della frequenza per la verifica degli indirizzi.
  • Potential Race Conditions (Medio): diversi endpoint senza meccanismi di blocco.
  • Address Verification Design (Medio): difetti di progettazione nel processo di verifica.
  • Token Verbosity (Medio): i token contengono più informazioni di quelle necessarie per il resource provider.
  • Insecure Cryptography (Medio): utilizzo di una cifratura debole (AES-ECB) per i token di sicurezza.
  • Vulnerable JS Library (Medio): utilizzo di una versione obsoleta di jQuery (3.3.1) con vulnerabilità note.
  • Cookie Security (Medio): varie carenze nella protezione dei cookie.
  • Strict-Transport-Security Header (Medio): header HSTS mancanti o configurati in modo errato.
  • Email Changing Race Condition (Basso): possibilità di modificare contemporaneamente più account verso lo stesso indirizzo e-mail.
  • Address Verification Ignored Field (Basso): un campo non validato potrebbe essere utilizzato per reindirizzare la posta.
  • Content Security Policy (Basso): header CSP configurati in modo non ottimale sui sottodomini.

PenTest III Parte 1 (AGOV Counter, maggio 2024)

  • Risultati: Nessun risultato (finding) è stato rilevato per il componente AGOV Counter in questa fase.

PenTest 2025 Iterazione n. 1 (processo di recupero account)

  • SMS Recovery Code Mass Attack (Alto): gli attaccanti potrebbero generare in massa codici SMS, causando danni economici ed esaurimento delle risorse.
  • Recovery Code Letter (OBL) Mass Attack (Alto): abuso del sistema per l’invio massivo di lettere fisiche.

PenTest 2025 Iterazione n. 2 (flussi e-ID, ottobre 2025)

Sono stati identificati cinque risultati:

  • Verifier Management service publicly accessible (Medio): il servizio dovrebbe essere accessibile solo internamente.
  • AGOV Account Takeover (Alto/Info): un attaccante potrebbe collegare una e-ID creata autonomamente con il numero AVS di una vittima (testato nell’ambiente beta).
  • Verifier APIs improper input validation (Basso): le API non validano in modo sufficientemente rigoroso i valori dei campi.
  • Swagger enabled (Info): l’interfaccia Swagger attiva facilita la ricognizione per gli attaccanti.
  • Non-sanitized values accepted from e-ID (Info): i dati provenienti dalla e-ID vengono accettati senza sanitizzazione.

Panoramica AGOV Bug Bounty 2023–2025

I ricercatori di sicurezza possono partecipare ai programmi Bug Bounty AGOV. BugBounty Switzerland è il partner di piattaforma per l’implementazione operativa dei programmi. Il NCSC (UFCS) supporta l’implementazione in funzione consultiva.

Tabella con la criticità riconosciuta dal team di sicurezza AGOV (eIAM) e una breve descrizione (basata sul tipo di vulnerabilità) per tutti i risultati dei due programmi Bug Bounty:

Private Bug Bounty Programm (eIAM & AGOV)

Public Bug Bounty Programm (AGOV)