La piattaforma Lovense che si è da tempo ritagliata una nicchia di mercato grazie ai sex toy controllati tramite app (tra cui modelle come Lush, Gush e Kraken), è affetta da un bug di sicurezza che consente di ottenere l’indirizzo email di chiunque utilizzando il nickname pubblico. La falla riguarda sia gli utenti abituali che le modelle che usano Lovense in streaming e show. Poiché i nickname sulla piattaforma sono spesso pubblici su forum o social media, gli aggressori possono facilmente abbinare i dati di accesso a indirizzi email reali, creando il rischio di doxxing e stalking.

La vulnerabilità è stata scoperta da un ricercatore con lo pseudonimo di BobDaHacker che, insieme ai colleghi Eva e Rebane, ha eseguito il reverse engineering dell’applicazione e automatizzato il processo di attacco. Durante l’analisi, è emerso che il bug era nascosto nell’interazione tra la parte server di Lovense e la chat XMPP, attraverso la quale vengono scambiati messaggi tra gli utenti.

Secondo il ricercatore, la vulnerabilità è stata scoperta per caso, mentre cercava di bloccare le notifiche di un altro utente tramite l’interfaccia di Lovense. Dopo aver premuto il pulsante “Mute”, ha studiato la risposta dell’API ed è rimasto sorpreso nel trovarvi l’indirizzo email di qualcun altro. Ciò ha sollevato sospetti e ulteriori analisi hanno dimostrato che, utilizzando un determinato algoritmo e formulando una richiesta corretta, è possibile ottenere l’indirizzo di qualsiasi partecipante alla piattaforma utilizzando il suo nickname pubblico. Inoltre, tale raccolta di dati può essere facilmente automatizzata, richiedendo informazioni in massa e ad alta velocità.

L’attacco funziona come segue: innanzitutto, l’attaccante invia una richiesta POST all’endpoint /api/wear/genGtoken utilizzando le proprie credenziali. In risposta, il server emette un token di autenticazione (gtoken) e le chiavi per la crittografia simmetrica (AES-CBC). Quindi, qualsiasi login noto viene crittografato con le chiavi ricevute, dopodiché viene inviato a /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}.

In risposta alla richiesta, il server restituisce un indirizzo email falso, in base al quale viene creato un Jabber ID (JID) artificiale. Questo identificativo viene aggiunto all’elenco dei contatti della chat XMPP e, dopo l’invio di una richiesta standard per aggiungere un amico (tramite il protocollo XMPP), l’elenco degli utenti viene aggiornato. Di conseguenza, nell’elenco compare non solo un falso, ma anche un JID reale, creato secondo un modello, in cui il vero indirizzo email della vittima viene sostituito con il login e il dominio: ad esempio, una riga come questa bleeping!!!example.com_w@im.lovense.comindica email bleeping@example.com.

Raccogliere i dati di accesso, come sottolineano gli analisti, non è difficile: vengono pubblicati su siti come lovenselife.com e nei profili dei modelli. Inoltre, l’estensione proprietaria FanBerry, rilasciata da Lovense, può essere utilizzata per raccogliere automaticamente i dati di accesso, soprattutto considerando che molti streamer utilizzano gli stessi nickname su piattaforme diverse.

Ma non è l’unico problema: i ricercatori hanno anche scoperto una vulnerabilità critica che consente il controllo completo dell’account. Per sfruttarla, è sufficiente conoscere l’indirizzo email. Grazie a questo, è possibile generare un gtoken valido , senza dover inserire una password, e accedere a qualsiasi parte dell’ecosistema Lovense, comprese le app Lovense Connect, StreamMaster e Cam101. Inoltre, secondo i ricercatori, la vulnerabilità ha interessato anche gli account amministratore.

Lovense ha poi risolto parzialmente questa falla: ora i token vengono rifiutati a livello API, ma i gtoken stessi possono ancora essere creati senza inserire una password. Entrambi i bug sono stati inizialmente documentati e inviati all’azienda il 26 marzo 2025, e anche tramite HackerOne. Ad aprile, Lovense ha segnalato che il problema relativo all’email era già noto e sarebbe stato risolto in una versione futura dell’applicazione. In totale, il team di ricerca ha ricevuto 3.000 dollari per i bug scoperti.

Al 4 giugno, Lovense ha riferito che entrambi i problemi erano stati completamente risolti, ma i ricercatori hanno smentito questa affermazione, confermando che il bug relativo alla divulgazione delle email persiste. Solo il bug relativo a gtoken è stato completamente risolto a luglio. Per quanto riguarda il secondo bug, Lovense ha affermato che ci vorranno circa 14 mesi per risolverlo, poiché la modifica interromperà la compatibilità con le versioni precedenti del client.

Secondo Lovense, il 3 luglio l’azienda ha implementato una funzionalità proxy proposta dai ricercatori per mitigare l’attacco. Tuttavia, anche dopo l’aggiornamento forzato, il bug relativo alle email è rimasto, e non è chiaro cosa sia stato modificato esattamente. Ricordiamo che già nel 2016 l’azienda aveva riscontrato vulnerabilità che consentivano di determinare la presenza di un account tramite email o di estrapolarlo direttamente dalle richieste.

L'articolo Ti “vibra” l’E-mail! Una falla “hot” su Lovense espone le email degli utenti proviene da il blog della sicurezza informatica.

PC gaming in the modern era has become a GPU measuring contest, but back when computers had far fewer resources, every sprite had to be accounted for. To many, this was peak gaming. So let’s look to the greats of [Martin Hollis, David Moore, and Olly Betts], who had the genius (or insanity) to create Tetris in a single BBC BASIC line.

Created in 1992, one-line Tetris serves as a great use of the limited resources available. The entirety of the game fits within 257 bytes. With the age of BASIC, the original intent of the game for BBC BASIC was to be played on computers similar to Acorn’s BBC microcomputer or Archimedes.

One line Tetris has all the core features of the original game. Moving left, right, and rotating all function like the traditional game, most of the time. Being created in a single line, there were a few corners cut with bug fixing. Bugs such as crashing every 136 years of play due to large numbers or holding all keys causing the tetrominoes to freeze make it an interesting play experience. However, as long as our GPUs are long enough to play, we don’t mind.

If you want to experience the most densely coded gaming experience possible but don’t have one of the BBC BASIC computers of old, make sure to try this emulator with a copy of the game. Considering the amount done in a single line of BBC BASIC, the thought may come into mind on what could be done with MORE than a SINGLE line of code. For those with this thought, check out the capabilities of the coding language with modern hardware.

Thanks to [Keith Olson] for the tip!

hackaday.com/2025/07/29/tetris…

So you want a light that runs off solar power. But you don’t want it to go dark if your batteries discharge. The answer? A solar-mains hybrid lamp. You could use solar-charged batteries until they fall below a certain point and then switch to mains, but that’s not nearly cool enough. [Vijay Deshpande] shows how to make a lamp that draws only the power it needs from the mains.

The circuit uses DC operation and does not feed power back into the electric grid. It still works if the mains is down, assuming the solar power supply is still able to power the lamp. In addition, according to [Vijay], it will last up to 15 years with little maintenance.

The circuit was developed in response to an earlier project that utilized solar power to directly drive the light, when possible. If the light was off, the solar power went to waste. Also, if the mains power failed at night, no light.

The answer, of course, is to add a battery to the system and appropriate switching to drive the lights or charge the battery and only draw power from the mains when needed. Since the battery can take up the slack, it becomes easier to load balance. In periods of low sunlight, the battery provides the missing power until it can’t and then the mains supply takes over.

Comparators determine whether there is an under-voltage or over-voltage and use this information to decide whether the battery charges or if the main supply takes over. Some beefy MOSFETs take care of the switching duties. Overall, a good way to save and reuse solar cell output while still drawing from the grid when necessary.

Small solar lights don’t take much, but won’t draw from commercial power. Solar “generators” are all the rage right now, and you could probably adapt this idea for that use, too.

hackaday.com/2025/07/29/solar-…

Mankind has been using water to mark the passage of time for thousands of years. From dripping stone pots in Ancient Egypt to the more mechanically-complicated Greco-Roman Clepsydrae, the history of timekeeping is a wet one — and it makes sense. As an incompressible fluid, water flows in very predictable patterns. If you fill a leaky pot with water and it takes an hour to drain, it will also take an hour the next time you try. One Hertz Challenge entrant [johnowhitaker] took this idea in a different direction, however, with an electromechanical clock that uses dripping water as an indicator.

This clock uses a solenoid to briefly pop the plunger out of a water-filled syringe. This allows a drop to fall from the tip, into a waiting beaker. In addition to the satisfying audio indication this produces, [johnowhitaker] added a bit of food coloring to the dripping water for visual flair. The entire thing is controlled by a Raspberry Pi Pico and a motor driver board, so if you’ve got some spare parts lying about and would like to build your own be sure to head over to the project page and grab the source code.

While this clock isn’t exactly here for a long time (either the syringe will eventually empty or the beaker will overflow), it’s certainly here for a good time. [John] and commenters on his project even have ideas for the next steps: a 1/60 Hz beaker changer, and a 1/600 Hz spill cleaner. Even so, the first couple of drops hitting the beaker produce a lovely lava lamp-esque cloud that is a joy to watch and has us thinking about other microfluidics projects we’ve seen.

And remember — it’s not too late to enter the 2025 One Hertz Challenge!

hackaday.com/2025/07/28/2025-o…

Si è svolto con successo ad Harbin il 27 e 28 luglio il 7° Forum sull’Innovazione nella Sicurezza del Cyberspazio “Zongheng”. Organizzato congiuntamente dalla National University of Defense Technology e dall’Harbin Institute of Technology. Erano inoltre presenti il vicepresidente e preside dell’istruzione della scuola Wu Jianjun e il vicepresidente Chen Jinbao.

Quest’anno, il forum ha avuto come tema “Costruire congiuntamente la difesa informatica e proteggere la sicurezza informatica”, seguendo i principi di “Concentrarsi sulla frontiera, mettere in comune la conoscenza, scoprire i talenti e innovare oltre”.

L’evento si è articolato in un forum principale, un simposio accademico internazionale di alto livello e 22 forum tematici speciali. Grazie alle competenze consolidate e al ruolo di primo piano dell’università nell’ambito della sicurezza del cyberspazio, l’iniziativa ha attratto circa 2.000 esperti e studiosi di rilievo provenienti dalla Cina e dall’estero, inclusi oltre dieci accademici dell’Accademia Cinese delle Scienze e dell’Accademia Cinese di Ingegneria, oltre a più di 100 importanti istituzioni.

La cerimonia di apertura è stata moderata da Han Zhuchun, Preside della Facoltà di Contromisure Elettroniche. Tra i principali risultati presentati spiccano il “Libro bianco sulla tecnologia di mappatura del cyberspazio” e il “Libro bianco sul middleware autonomo, sicuro e affidabile: all’avanguardia nell’informatizzazione”. Per la prima volta, è stata inoltre illustrata la relazione “Le dieci principali sfide scientifiche nella sicurezza del cyberspazio per il 2025”, che si concentra sull’evoluzione futura della teoria della sicurezza informatica e sull’individuazione delle tecnologie che rappresentano colli di bottiglia. Durante il forum, sono stati anche premiati i membri più meritevoli del Comitato Accademico e consegnati riconoscimenti ai migliori lavori accademici.

Il forum principale è stato moderato da Guo Shize, ricercatore presso il Centro di Ricerca sulla Sicurezza Informatica dell’Esercito Popolare di Liberazione. Vi hanno preso parte esperti di fama come Li Xiang, Han Jiecai, Fang Binxing, He Xiaodong, Yin Hao, Feng Dengguo, Sun Shengli, Li Jindong, Li Hui, Zhang Hongke, Zhang Baodong, Zheng Hairong e Guan Xiaohong, insieme a figure di rilievo nazionali e internazionali come Rao Zhihong, Yang Jianjun, Jia Yan,

Ma Jianfeng, Yun Xiaochun, Hu Yihua, Huang Zhitao e Shi Fan. I partecipanti hanno discusso temi all’avanguardia, tra cui “Sicurezza comportamentale dell’IA e barriere di sicurezza dell’IA” e “Costruire una nuova Internet sicura e affidabile”.

Nel corso del Forum “Zongheng”, giunto alla sua settima edizione, si è discusso a fondo delle sfide più attuali e prospettiche nel campo della sicurezza del cyberspazio. L’evento ha saputo valorizzare l’esperienza pluriennale e il ruolo strategico della National University of Defense Technology, trasformandosi in una piattaforma di riferimento per il confronto tra mondo accademico, industria e istituzioni.

Tra i temi centrali affrontati:

• Evoluzione delle minacce informatiche e nuove strategie difensive.
• Formazione e valorizzazione dei talenti nel settore della cybersicurezza, con un forum speciale dedicato alle modalità più efficaci per attrarre, preparare e trattenere esperti altamente qualificati.
• Innovazione tecnologica e ricerca accademica, anche grazie alla presentazione di importanti documenti come il Libro bianco sulla tecnologia di mappatura del cyberspazio e il Libro bianco sul middleware autonomo, sicuro e affidabile.
• Dieci principali sfide scientifiche nella sicurezza del cyberspazio per il 2025, un’analisi mirata a individuare le aree critiche in cui concentrare gli sforzi di ricerca e sviluppo.
• Tendenze globali della cybersecurity, grazie alla presenza – per la prima volta – di nove esperti internazionali che hanno portato contributi sulle frontiere della disciplina, ampliando la prospettiva internazionale dei partecipanti.
• Integrazione tra mondo accademico e imprese, con momenti dedicati a incontri, workshop e spazi espositivi in cui oltre 20 aziende leader del settore hanno illustrato le proprie soluzioni innovative.

Il forum ha inoltre consolidato collaborazioni strategiche con altre università e centri di ricerca, favorito la pubblicazione di contributi accademici sulla rivista Information Countermeasures Technology e creato opportunità concrete per l’attrazione di studenti e professionisti di alto livello.

In sintesi, il “Zongheng” si è confermato non solo come luogo di discussione scientifica, ma anche come motore di sviluppo per nuove idee, cooperazioni internazionali e rafforzamento della sicurezza nazionale in un contesto digitale in rapida evoluzione.

L'articolo Concluso il 7° Forum sull’Innovazione nella Sicurezza del Cyberspazio “Zongheng” ad Harbin proviene da il blog della sicurezza informatica.

Non c'è mai stata una reale cessione di sovranità all'UE da parte degli stati membri in materia di politica estera o di politica economica. In questo caso particolare, inoltre, l'unica cosa su cui gli stati membri erano d'accordo era ridurre i dazi del 30% minacciati da Trump.

Trovo abbastanza ridicolo che i governi che non hanno mai voluto un'Europa forte e che hanno dato un mandato così minimalista a Von Der Layen adesso l'accusino di essersi genuflessa a Trump.

Forse sarebbe il caso di arricchire la Netiquette, in modo da estendere la sua ala protettrice anche sopra il Fediverso.

Serve, secondo me, un capitolo "Fediquette".

Per cominciare aggiungerei alla Fediquette questa regola:

- non si possono pubblicare link ad articoli, post o contenuti che per essere fruiti richiedono il pagamento di un abbonamento o l'obbligo ad accettare cookies che non siano tecnicamente necessari al funzionamento del sito.