COVID-19 Vac-Check - Source code and reporting vulnerabilities

Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die Funktionsweise und die Sicherheit des Schweizerischen Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open Source und es wird ein öffentlicher Sicherheitstest durchgeführt.
Der Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC) geleitet und hat den Anspruch auf volle Transparenz. Meldungen von Testergebnissen erfolgen auf der Webseite des NCSC und können dort detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind auf der Webseite des NCSC öffentlich einsehbar und werden regelmässig aktualisiert.Das Ziel
des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und
Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die
Funktionsweise und die Sicherheit des Schweizerischen
Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem
Grund sind alle Komponenten Open Source und es wird ein öffentlicher
Sicherheitstest durchgeführt.
Der
Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die Funktionsweise und die Sicherheit des Schweizerischen Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open Source und es wird ein öffentlicher Sicherheitstest durchgeführt.Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC)
geleitet und hat den Anspruch auf volle Transparenz. Meldungen von
Testergebnissen erfolgen auf der Webseite des NCSC und können dort
detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen
entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer
Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind
auf der Webseite des NCSC öffentlich einsehbar und
werden regelmässig aktualisiert.
 

The Confederation wants to make the functioning and security of the COVID-19 Vac-Check as transparent as possible. For this reason the Priority Engine from COVID-19 Vac-Check is open source and a oppertunity is provided for security researchers to report their findings. The Priority Engine determines if a citizen is eligible for a COVID-19 vaccination based on answers provided by the citizen and a canton specific rule set. This rule sets contains rules for primo vaccination as well as for booster.

A penetration test as well as an external code review have both been performed previously without any security vulnerabilites detected.

The National Cyber Security Centre (NCSC) offers a procedure for reporting possible vulnerabilities. Test results are to be reported via the NCSC website, where there is a form for entering detailed information:

https://www.ncsc.admin.ch/ncsc/en/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html

The NCSC will receive these reports, evaluate their contents, prioritise them according to their criticality and, if necessary, arranges remedies. Existing feedback is publicly available on the NCSC website.

Scope and Rules (only in english)

Testing policy

  • The Swiss Confederation provides a COVID-19 Vac-Check dedicated to support citizens in their decision to get vaccinated.
  • Participants who have found or believe they have found a vulnerability are asked to submit a report via following NCSC Website.

Scope of the test

  • You will find the documentation related to the COVID-19 Vac-Check system in Switzerland on Github: https://github.com/soignezmoich/vac-engine
  • In-scope is only the provided code of the Priority Engine contained in the respective GitHub repository. If you are unsure, then please stop your activity and ask NCSC first.
  • Attacks and scans that can harm other operations and services of the Swiss Confederation and involved parties are therefore strictly forbidden. If you are unsure, then please stop your activity and ask NCSC first.

Out-of-scope

Everything that is not defined as in-scope is out-of-scope by default. In particular, the following items are out-of-scope:

  • All attacks that fall in the broad denial of service (DDoS) and resource starvation categories.
  • Social engineering, phishing or malware attacks on operators or employees of the Swiss Confederation, the Cantons and involved parties.
  • Physical attacks on people, buildings and devices.
  • Attacks on the (GitHub) code repositories or the report submission website of NCSC
  • Lateral movements after a compromise of a system.

If you are unsure, then please ask NCSC first.

Last modification 03.01.2022

Top of page

https://www.ncsc.admin.ch/content/ncsc/en/home/dokumentation/covid19-vac-check/infos.html