Publitgà sin il 2 avrigl 2026

Survista AGOV PenTest & Bug Bounty 2023–2025

Survista dals tests da penetrazion (PenTests) realisads e planisads per AGOV. Ils PenTests èn vegnids effectuads dad armasuisse en coordinaziun cun ils furniturs da software, ils operaturs da sistems e il responsabel da business.

Cronologia dals PenTests AGOV

2023 (rapport dal 24.01.2024): PenTest I

  • Focus: Verificaziun cumplessiva dals sistems centrals AGOV, inclusiv Account Management (me.agov.admin.ch), Identity Provider (idp.agov.admin.ch) e Authentication Service (auth.agov.admin.ch). Il test è vegnì realisà sco test white-box parzial.

Favrer 2024: PenTest II

  • Focus: Questa fasa è sa concentrada sin il sistem «HeloITSM».

Matg 2024: PenTest III (Part 1)

  • Focus: Verificaziun dal component AGOV Counter durant las emnas da chalender 19 e 20.

Zercladur 2024: PenTest III planisà (Part 2)

  • Detagls: Oriundamain planisà per AGOV Connect e re-tests da l’IdP. Quels tests n’han dentant betg pudì vegnir effectuads sco planisà e vegnan spustads al PenTest IV.

Settember – october 2024: PenTest IV

  • Focus: Verificaziun dal Trust Broker (BTB/STB) sco er dals moduls AGOV Connect, View, Access App e dal Nevis IDM.

Avrigl – matg 2025: Iteraziun nr. 1

  • Focus: Process da recuperaziun dal conto AGOV (SMS, OBL, video) dals 28 d’avrigl fin ils 2 da matg.

October 2025: Iteraziun nr. 2

  • Focus: Workflows da login e-ID e l’integraziun, inclusiv il Verifier Management Service ed OID4VP (OpenID for Verifiable Presentations).

Resultats per PenTest

PenTest I (2023)

En quest test èn vegnidas identifitgadas en tut 12 vulnerabilitads:

  • Address Information Disclosure (aut): revelaziun da datas d’adressa tras respostas API.
  • Address Verification Rate Limiting (aut): mancanza da limitaziun da frequenza tar la verificaziun d’adressas.
  • Potential Race Conditions (mesaun): differents endpoints senza mecanissems da bloccar.
  • Address Verification Design (mesaun): mancanzas da design en il process da verificaziun.
  • Token Verbosity (mesaun): tokens cuntegnan dapli novitads che necessari per il resource provider.
  • Insecure Cryptography (mesaun): utilisaziun d’ina criptografia flaivla (AES-ECB) per tokens da segirezza.
  • Vulnerable JS Library (mesaun): utilisaziun d’ina versiun antiquada da jQuery (3.3.1) cun vulnerabilitads enconuschentas.
  • Cookie Security (mesaun): diversas mancanzas en la segirezza da cookies.
  • Strict-Transport-Security Header (mesaun): headers HSTS mancants u configurads falladamain.
  • Email Changing Race Condition (bass): pussaivladad da midar plirs contos a la medema adressa e-mail simultanamain.
  • Address Verification Ignored Field (bass): in champ betg validà pudess vegnir duvrà per rediriger brevs.
  • Content Security Policy (bass): headers CSP configurads betg optimalmain sin subdomains.

PenTest III Part 1 (AGOV Counter, matg 2024)

  • Resultats: Nagins resultats (findings) èn vegnids constatads per il component AGOV Counter en questa fasa.

PenTest 2025 Iteraziun nr. 1 (process da recuperaziun dal conto)

  • SMS Recovery Code Mass Attack (aut): attatgaders pudessan generar massa codes SMS, quai che maina a donns economics ed exauraziun da resursas.
  • Recovery Code Letter (OBL) Mass Attack (aut): abus dal sistem per trametter massa brevs fisicas.

PenTest 2025 Iteraziun nr. 2 (flows e-ID, october 2025)

En quest test èn vegnids identifitgads tschintg resultats:

  • Verifier Management service publicly accessible (mesaun): il servetsch duess esser accessibel mo internamain.
  • AGOV Account Takeover (aut/info): in attatgader pudess colliar ina e-ID creada sez cun il numer AVS d’ina victima (testà en l’ambient beta).
  • Verifier APIs improper input validation (bass): APIs na validan betg rigurusamain ils valurs dals champs.
  • Swagger enabled (info): la surfatscha Swagger activa facilitescha la reconuschientscha per attatgaders.
  • Non-sanitized values accepted from e-ID (info): datas da l’e-ID vegnan acceptadas senza purificaziun.

Survista AGOV Bug Bounty 2023–2025

Perscrutaders da segirezza pon participar als programs Bug Bounty AGOV. BugBounty Switzerland è il partenari da plattafurma per l’implementaziun operativa dals programs. Il NCSC (BACS) accumpogna l’implementaziun en ina rolla consultativa.

Tabella cun la criticitad renconuschida dal team da segirezza AGOV (eIAM) e ina curta descripziun (basada sin il tip da sbagl) per tut ils resultats da tuts dus programs Bug Bounty:

Private Bug Bounty Programm (eIAM & AGOV)

Public Bug Bounty Programm (AGOV)