Nei primi mesi della nuova presidenza di Donald Trump, il governo federale degli Stati Uniti ha apportato tagli drastici alla spesa per la sicurezza informatica, tagliando budget, personale e una serie di iniziative volte a proteggere le infrastrutture digitali. Queste misure hanno allarmato alcuni funzionari locali, tra cui il responsabile della sicurezza informatica dello Stato di New York, Colin Ahern, e la governatrice Kathy Hochul, che hanno pubblicamente espresso preoccupazione per l’impatto di tali misure.

Ahern, parlando a nome dell’amministrazione di New York, ha osservato che le azioni della Casa Bianca compromettono la capacità del Paese di contrastare le minacce informatiche esterne. Particolare malcontento è stato causato dal cosiddetto “Big Ugly Bill” adottato a luglio, il principale provvedimento finanziario dell’amministrazione, che ha ridotto significativamente i finanziamenti per le principali strutture informatiche.

Il budget della Cybersecurity and Infrastructure Security Agency (CISA) è stato tagliato di 135 milioni di dollari, portando i tagli totali per tutte le agenzie federali a oltre 1,2 miliardi di dollari. Allo stesso tempo, il documento prevede un finanziamento di un miliardo di dollari per operazioni informatiche offensive all’estero nei prossimi quattro anni.

I tagli sono stati accompagnati da licenziamenti di massa, con oltre cento dipendenti della CISA che hanno perso il lavoro. Alcuni di loro sono stati successivamente reintegrati per ordine del tribunale. Anche la candidatura del nuovo direttore federale per la sicurezza informatica è stata criticata : Sean Plankey, il candidato nominato dall’amministrazione Trump, non aveva alcuna esperienza nel settore. Nel frattempo, il Dipartimento dell’Istruzione degli Stati Uniti ha sospeso un programma per aiutare le scuole nella sicurezza digitale.

Gli Stati, pur avendo poteri propri in materia di sicurezza informatica, fanno molto affidamento sul sostegno federale, soprattutto per proteggere risorse come i servizi idrici, gli hub energetici e le infrastrutture di trasporto. Per contribuire a compensare il deficit causato dalle misure federali, il governatore Hochul ha scritto al Segretario per la Sicurezza Interna Kristi Noem chiedendogli di stanziare urgentemente fondi attraverso l’Homeland Security Grant Program. Questi fondi sono necessari per sostenere la sicurezza locale e regionale, anche nell’ambito digitale.

New York, tuttavia, non rallenta. Ahern ha affermato che lo Stato sta continuando a intensificare gli sforzi per costruire difese resilienti, collaborando con altre regioni e livelli di governo. Questi sforzi includono l’espansione delle infrastrutture, il rafforzamento delle relazioni interagenzia e il lancio di nuove iniziative educative e tecnologiche.

Una di queste misure è una legge recentemente firmata dal governatore Hochul, che impone a tutti i dipendenti pubblici che lavorano con i computer di seguire una formazione sull’igiene digitale. Inoltre, i governi sono tenuti a segnalare gli incidenti entro 72 ore da un attacco informatico, o entro 24 ore se i dati vengono rubati a seguito di un attacco. È inoltre previsto l’istituzione di un programma di sovvenzioni per l’ammodernamento dei sistemi idrici e fognari, al fine di garantire che siano conformi ai nuovi requisiti normativi.

Inoltre, lo Stato sta aprendo un nuovo ufficio per la sicurezza informatica a New York City, che impiegherà professionisti, compresi quelli licenziati dalle agenzie federali a seguito della ristrutturazione. Il governo intende utilizzare una campagna pubblica con lo slogan “DOGE dice: Sei licenziato. New York dice: Sei assunto” come simbolo del nuovo corso e come sostegno ai professionisti che hanno perso il lavoro a causa delle decisioni politiche di Washington.

L'articolo Gli Stati Uniti tagliano ancora la spesa sulla Sicurezza Informatica ed è bufera proviene da il blog della sicurezza informatica.

Un attacco informatico ai danni di ACEA SpA, colosso italiano attivo nella produzione e distribuzione di elettricità, gas e servizi idrici, è stato rivendicato dai criminali informatici di World Leaks. Secondo quanto riportato, l’azienda compare nella sezione “Disclosed” – segnale che i presunti autori dell’attacco avrebbero già deciso di rendere pubblici o divulgare dati interni sottratti. Stando al portale, la pubblicazione completa del materiale sarebbe prevista tra circa 1 giorno, 2 ore e 52 minuti, a partire dal momento della cattura dello screenshot.

ACEA SpA, che conta oltre 9.200 dipendenti e registra un fatturato annuo di 4,3 miliardi di dollari, non ha ancora rilasciato alcun comunicato ufficiale in merito alla violazione né ha confermato l’accaduto.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Print Screen dal data leak site di World Leaks (29/07/2025)
La vicenda al momento risulta ancora in evoluzione e si attendono aggiornamenti dall’azienda o da eventuali autorità competenti.

Nel frattempo, cresce la preoccupazione per i possibili compromissioni di dati sensibili, visto il ruolo strategico di ACEA nel settore energetico e ambientale italiano.

Il caso attuale ricorda da vicino quanto accaduto a marzo 2023, quando la cybergang BlackBasta colpì ACEA fu già vittima di un grave attacco informatico che portò alla pubblicazione online di oltre 800 GB di dati. Quell’episodio aveva suscitato grande allarme sia per la quantità di informazioni sottratte sia per il ruolo strategico dell’azienda nei servizi pubblici.
Print screen del Data Leak Site di BlackBasta di Marzo del 2023 (Fonte Red Hot Cyber)
Al momento ACEA SpA non ha ancora diffuso un comunicato stampa ufficiale che possa confermare la reale portata dell’accaduto.

Si attende quindi una presa di posizione da parte dell’azienda per chiarire se si tratta effettivamente di un attacco informatico, o se invece la rivendicazione sia una truffa orchestrata dal gruppo di threat actors per attirare attenzione o estorcere denaro senza disporre di dati reali.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione dell’organizzazione qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Chi sono i criminali informatici di World Leaks

World Leaks nasce dalle ceneri del gruppo Hunters International, un rebrand avvenuto a gennaio 2025 dopo mesi di cambiamenti tattici e strategici. Hunters, a sua volta, era comparso alla fine del 2023 come evoluzione del noto gruppo ransomware Hive, operando come ransomware-as-a-service (RaaS) e colpendo più di 300 vittime, in gran parte in Nord America. In questa prima fase, il gruppo aveva adottato la tecnica della doppia estorsione: cifrare i dati e contemporaneamente minacciare di pubblicarli per convincere le aziende a pagare il riscatto.

Con l’inizio del 2024, Hunters ha però progressivamente cambiato approccio, spostando il focus dall’attività di cifratura verso il furto e la rivendita diretta dei dati, arrivando anche a contattare in modo mirato dirigenti e dipendenti delle aziende vittime per fare pressione. A maggio 2024 il gruppo ha annunciato ufficialmente la chiusura dell’operazione Hunters International, dichiarando di rilasciare le chiavi di decrittazione gratuite per le vittime ancora colpite. Secondo alcuni esperti, questa mossa potrebbe essere stata condizionata da pressioni delle forze dell’ordine e dall’intensificarsi delle indagini internazionali sui gruppi ransomware.

Da questo passaggio è nato il progetto World Leaks, che rinuncia completamente alla parte di cifratura tipica del ransomware e punta esclusivamente sulla sottrazione di dati sensibili, pubblicandoli su un data leak site (DLS) nel dark web per estorcere denaro.

In pochi mesi, World Leaks ha già rivendicato almeno 20 vittime, con dati sottratti resi pubblici per 17 di loro. Questo modello, che evita di bloccare le attività delle aziende ma punta solo al danno reputazionale e legale derivante dalla diffusione dei dati, sembra destinato a diventare sempre più diffuso, perché meno visibile agli occhi delle forze dell’ordine e potenzialmente più redditizio.

L'articolo World Leaks rivendica un Attacco informatico ad ACEA. Aggiornamenti tra 21 ore proviene da il blog della sicurezza informatica.

Il produttore di periferiche di gioco Endgame Gear ha segnalato che tra il 26 giugno e il 9 luglio 2025, un malware è stato inserito nel sito Web ufficiale dell’azienda, nascosto nello strumento di configurazione del mouse OP1w 4k v2. Circa due settimane fa su Reddit sono comparse segnalazioni di malware nello strumento di personalizzazione OP1.

Gli utenti hanno segnalato contemporaneamente diverse differenze chiave, che indicavano che il sito web dell’azienda ospitava un programma di installazione trojanizzato. Ad esempio, hanno attirato l’attenzione sulla dimensione del driver, aumentata a 2,8 MB (rispetto ai 2,3 MB della versione “pulita”), nonché sul fatto che le proprietà del file indicavano “Synaptics Pointing Device Driver” (invece di “Endgame Gear OP1w 4k v2 Configuration Tool”).

Dopo essere stato caricato su VirusTotal, il malware è stato identificato come backdoor XRed, ma i rappresentanti di Endgame Gear affermano che l’analisi del payload dannoso non è ancora completa. La scorsa settimana, l’azienda ha confermato che lo strumento Endgame_Gear_OP1w_4k_v2_Configuration_Tool_v1_00.exe ospitato sul suo sito web era effettivamente infetto da malware. Tuttavia, Endgame Gear non ha spiegato esattamente come ciò sia accaduto.

Il file dannoso è stato pubblicato sulla pagina endgamegear.com/gaming-mice/op1w-4k-v2 e il produttore sottolinea che tutti coloro che hanno scaricato l’utility da questa pagina durante il periodo specificato sono stati infettati. Allo stesso tempo, gli utenti che hanno scaricato l’utility dalla pagina di download principale (endgamegear.com/downloads), tramite GitHub e Discord, non sono stati interessati, poiché la versione “pulita” è stata distribuita attraverso questi canali.

Ora pare che il malware sia stato rimosso.

Endgame Gear consiglia agli utenti che hanno scaricato la versione dannosa dello strumento di eliminare tutti i file dalla cartella C:ProgramDataSynaptics e di scaricare nuovamente la versione sicura da questa pagina. Poiché il malware ha funzionalità keylogger e può aprire l’accesso remoto al sistema e rubare dati, si consiglia agli utenti interessati di eseguire una scansione completa del sistema con un antivirus e di assicurarsi che tutti i residui dell’infezione vengano distrutti.

Si consiglia inoltre di modificare le password di tutti gli account importanti, tra cui quelli dell’online banking, dei servizi di posta elettronica e dei profili di lavoro. Endgame Gear afferma che in futuro l’azienda eliminerà le pagine di download separate e aggiungerà la verifica dell’hash SHA e le firme digitali a tutti i file per verificarne l’integrità e l’autenticità della fonte.

Vale la pena notare che già a febbraio 2024 gli analisti di eSentire avevano lanciato l’allarme: XRed avrebbe potuto spacciarsi per Synaptics Pointing Device Driver. All’epoca, il malware veniva distribuito anche tramite software trojanizzato fornito con gli hub USB-C venduti su Amazon.

L'articolo Chi ha messo il topo in trappola? Un malware è stato nascosto nei driver della Endgame Gear proviene da il blog della sicurezza informatica.

La piattaforma Lovense che si è da tempo ritagliata una nicchia di mercato grazie ai sex toy controllati tramite app (tra cui modelle come Lush, Gush e Kraken), è affetta da un bug di sicurezza che consente di ottenere l’indirizzo email di chiunque utilizzando il nickname pubblico. La falla riguarda sia gli utenti abituali che le modelle che usano Lovense in streaming e show. Poiché i nickname sulla piattaforma sono spesso pubblici su forum o social media, gli aggressori possono facilmente abbinare i dati di accesso a indirizzi email reali, creando il rischio di doxxing e stalking.

La vulnerabilità è stata scoperta da un ricercatore con lo pseudonimo di BobDaHacker che, insieme ai colleghi Eva e Rebane, ha eseguito il reverse engineering dell’applicazione e automatizzato il processo di attacco. Durante l’analisi, è emerso che il bug era nascosto nell’interazione tra la parte server di Lovense e la chat XMPP, attraverso la quale vengono scambiati messaggi tra gli utenti.

Secondo il ricercatore, la vulnerabilità è stata scoperta per caso, mentre cercava di bloccare le notifiche di un altro utente tramite l’interfaccia di Lovense. Dopo aver premuto il pulsante “Mute”, ha studiato la risposta dell’API ed è rimasto sorpreso nel trovarvi l’indirizzo email di qualcun altro. Ciò ha sollevato sospetti e ulteriori analisi hanno dimostrato che, utilizzando un determinato algoritmo e formulando una richiesta corretta, è possibile ottenere l’indirizzo di qualsiasi partecipante alla piattaforma utilizzando il suo nickname pubblico. Inoltre, tale raccolta di dati può essere facilmente automatizzata, richiedendo informazioni in massa e ad alta velocità.

L’attacco funziona come segue: innanzitutto, l’attaccante invia una richiesta POST all’endpoint /api/wear/genGtoken utilizzando le proprie credenziali. In risposta, il server emette un token di autenticazione (gtoken) e le chiavi per la crittografia simmetrica (AES-CBC). Quindi, qualsiasi login noto viene crittografato con le chiavi ricevute, dopodiché viene inviato a /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}.

In risposta alla richiesta, il server restituisce un indirizzo email falso, in base al quale viene creato un Jabber ID (JID) artificiale. Questo identificativo viene aggiunto all’elenco dei contatti della chat XMPP e, dopo l’invio di una richiesta standard per aggiungere un amico (tramite il protocollo XMPP), l’elenco degli utenti viene aggiornato. Di conseguenza, nell’elenco compare non solo un falso, ma anche un JID reale, creato secondo un modello, in cui il vero indirizzo email della vittima viene sostituito con il login e il dominio: ad esempio, una riga come questa bleeping!!!example.com_w@im.lovense.comindica email bleeping@example.com.

Raccogliere i dati di accesso, come sottolineano gli analisti, non è difficile: vengono pubblicati su siti come lovenselife.com e nei profili dei modelli. Inoltre, l’estensione proprietaria FanBerry, rilasciata da Lovense, può essere utilizzata per raccogliere automaticamente i dati di accesso, soprattutto considerando che molti streamer utilizzano gli stessi nickname su piattaforme diverse.

Ma non è l’unico problema: i ricercatori hanno anche scoperto una vulnerabilità critica che consente il controllo completo dell’account. Per sfruttarla, è sufficiente conoscere l’indirizzo email. Grazie a questo, è possibile generare un gtoken valido , senza dover inserire una password, e accedere a qualsiasi parte dell’ecosistema Lovense, comprese le app Lovense Connect, StreamMaster e Cam101. Inoltre, secondo i ricercatori, la vulnerabilità ha interessato anche gli account amministratore.

Lovense ha poi risolto parzialmente questa falla: ora i token vengono rifiutati a livello API, ma i gtoken stessi possono ancora essere creati senza inserire una password. Entrambi i bug sono stati inizialmente documentati e inviati all’azienda il 26 marzo 2025, e anche tramite HackerOne. Ad aprile, Lovense ha segnalato che il problema relativo all’email era già noto e sarebbe stato risolto in una versione futura dell’applicazione. In totale, il team di ricerca ha ricevuto 3.000 dollari per i bug scoperti.

Al 4 giugno, Lovense ha riferito che entrambi i problemi erano stati completamente risolti, ma i ricercatori hanno smentito questa affermazione, confermando che il bug relativo alla divulgazione delle email persiste. Solo il bug relativo a gtoken è stato completamente risolto a luglio. Per quanto riguarda il secondo bug, Lovense ha affermato che ci vorranno circa 14 mesi per risolverlo, poiché la modifica interromperà la compatibilità con le versioni precedenti del client.

Secondo Lovense, il 3 luglio l’azienda ha implementato una funzionalità proxy proposta dai ricercatori per mitigare l’attacco. Tuttavia, anche dopo l’aggiornamento forzato, il bug relativo alle email è rimasto, e non è chiaro cosa sia stato modificato esattamente. Ricordiamo che già nel 2016 l’azienda aveva riscontrato vulnerabilità che consentivano di determinare la presenza di un account tramite email o di estrapolarlo direttamente dalle richieste.

L'articolo Ti “vibra” l’E-mail! Una falla “hot” su Lovense espone le email degli utenti proviene da il blog della sicurezza informatica.

PC gaming in the modern era has become a GPU measuring contest, but back when computers had far fewer resources, every sprite had to be accounted for. To many, this was peak gaming. So let’s look to the greats of [Martin Hollis, David Moore, and Olly Betts], who had the genius (or insanity) to create Tetris in a single BBC BASIC line.

Created in 1992, one-line Tetris serves as a great use of the limited resources available. The entirety of the game fits within 257 bytes. With the age of BASIC, the original intent of the game for BBC BASIC was to be played on computers similar to Acorn’s BBC microcomputer or Archimedes.

One line Tetris has all the core features of the original game. Moving left, right, and rotating all function like the traditional game, most of the time. Being created in a single line, there were a few corners cut with bug fixing. Bugs such as crashing every 136 years of play due to large numbers or holding all keys causing the tetrominoes to freeze make it an interesting play experience. However, as long as our GPUs are long enough to play, we don’t mind.

If you want to experience the most densely coded gaming experience possible but don’t have one of the BBC BASIC computers of old, make sure to try this emulator with a copy of the game. Considering the amount done in a single line of BBC BASIC, the thought may come into mind on what could be done with MORE than a SINGLE line of code. For those with this thought, check out the capabilities of the coding language with modern hardware.

Thanks to [Keith Olson] for the tip!

hackaday.com/2025/07/29/tetris…

Non c'è mai stata una reale cessione di sovranità all'UE da parte degli stati membri in materia di politica estera o di politica economica. In questo caso particolare, inoltre, l'unica cosa su cui gli stati membri erano d'accordo era ridurre i dazi del 30% minacciati da Trump.

Trovo abbastanza ridicolo che i governi che non hanno mai voluto un'Europa forte e che hanno dato un mandato così minimalista a Von Der Layen adesso l'accusino di essersi genuflessa a Trump.

Forse sarebbe il caso di arricchire la Netiquette, in modo da estendere la sua ala protettrice anche sopra il Fediverso.

Serve, secondo me, un capitolo "Fediquette".

Per cominciare aggiungerei alla Fediquette questa regola:

- non si possono pubblicare link ad articoli, post o contenuti che per essere fruiti richiedono il pagamento di un abbonamento o l'obbligo ad accettare cookies che non siano tecnicamente necessari al funzionamento del sito.