Notificare i risultati del test del sistema di tracciamento di prossimità

La invitiamo a descrivere quello che ha scoperto/il risultato del Suo test nel modo più dettagliato possibile, per consentirci di riprodurre quanto osservato e risolvere il tutto al più presto. Idealmente, la notifica è composta da una descrizione dettagliata e dalle relative ripercussioni. È anche possibile caricare materiale supplementare, ad es. schermate.

Si prega di notare che il modulo sottostante non è finalizzato all’invio né di domande di carattere generale sul funzionamento dell’app né di richieste dei media. A tale riguardo si rinvia alle FAQ o a media@bag.admin.ch. Grazie per la comprensione. 

Notifica dei risultati del test

*
Breve descrizione della vulnerabilità (massimo 250 caratteri).
 
Descrizione livelli di gravità vedi sotto in questa pagina.
*
La invitiamo a descrivere quello che ha scoperto nel modo più dettagliato possibile, per consentirci di riprodurre quanto osservato e risolvere il tutto al più presto.
 
Descrizione delle conseguenze della vulnerabilità. Cosa accade quando si sfrutta la vulnerabilità.
 
Se disponibile, qui si può descrivere un approccio di soluzione.
 
Utilizzare ASCII (per esempio Markdown), pdf o png per la documentazione.
*

Informazioni personali (opzionale)

Qui può inserire le Sue informazioni personali. Questo ci permetterà di contattarla in caso di domande supplementari. Può anche indicare se acconsente alla pubblicazione del Suo nome.

 
 
 
Questo nome compare nei ringraziamenti.
 
 


Definizione livelli di gravità

Il livello di gravità può essere determinato attraverso il «Common Vulnerability Scoring System» (CVSS). Il sito Internet del «Forum of Incident Response and Security Teams» mette a disposizione uno strumento interattivo a tal fine: https://www.first.org/cvss/calculator/3.0.

Critical (CVSS v3 Score: 9.0-10.0): generalmente gli eventi critici non richiedono l’interazione della persona presa di mira. Di conseguenza, un aggressore non necessita di conoscenze particolari sulla vittima. Un «Remote Code Execution» è di regola la causa di un evento critico. Le conseguenze possono essere ad esempio fughe di dati personali o la perdita dell’anonimato.

High (CVSS v3 Score 7.0-8.9): le azioni dell’utente (ingegneria sociale) sono la chiave per uno sfruttamento riuscito. In tal modo l’aggressore può procurarsi privilegi estesi. Anche in questo caso le conseguenze possono essere fughe di dati.

Medium (CVSS v3 Score: 4.0-6.9): in caso di sfruttamento, viene concesso soltanto un accesso limitato. Inoltre, l’aggressore deve muoversi all’interno dello stesso sistema della vittima. I dati non vengono toccati o solo parzialmente.

Low (CVSS v3 Score: 0.1-3.9): non vi è nessuna ripercussione sulla funzionalità o sui dati. Rientrano in questa categoria anche gli errori di layout e di ortografia.

 

 
 
https://www.melani.admin.ch/content/melani/it/home/public-security-test/reporting_form.html