Un attacco alle risorse interne di Intel ha dimostrato che le vulnerabilità possono essere trovate non solo nei processori, ma anche nei siti web aziendali. Un ricercatore di sicurezza ha scoperto quattro diversi modi per ottenere dati su oltre 270.000 dipendenti Intel: dai database delle risorse umane e dai contatti alle informazioni sui fornitori e sui processi di produzione.

Tutte le vulnerabilità individuate sono già state risolte, ma il fatto stesso che sono state rilevate dimostra quanto possa essere fragile l’infrastruttura interna anche dei più grandi attori del mercato.

Il primo problema è stato riscontrato nel servizio per ordinare i biglietti da visita per i dipendenti di Intel India. Il sito era basato su Angular e utilizzava la Microsoft Authentication Library. L’autore è riuscito a bypassare l’autorizzazione aziendale modificando la funzione getAllAccounts, che restituiva un array vuoto in assenza di login. Dopo la sostituzione, i dati venivano caricati senza un account e le richieste API non richiedevano una vera autenticazione. Di conseguenza, una chiamata poteva scaricare quasi un gigabyte di file JSON con informazioni personali sui dipendenti di tutto il mondo, dal nome e dalla posizione al telefono aziendale e all’email.

Il secondo punto debole era il portale di Gestione Gerarchica, utilizzato per strutturare i gruppi di prodotti e i responsabili dei reparti. Il codice conteneva credenziali hardcoded, con crittografia AES di base, facilmente aggirabile: la chiave stessa era presente sul lato client. Inoltre, sono stati trovati accessi diretti Basic Auth per i servizi amministrativi. Dopo aver sostituito la variabile isAuthenticated e simulato i ruoli nelle risposte di Microsoft Graph, il sito si è aperto con diritti di amministratore completi, consentendo di visualizzare le richieste di servizio e le informazioni sui prodotti, comprese quelle non ancora presentate pubblicamente.

Il terzo sito, Product Onboarding, correlato al processo di aggiunta di nuovi prodotti al sistema Intel ARK, conteneva dettagli ancora più sensibili. Il suo codice conteneva diversi set di login e token contemporaneamente: da un’API per la collaborazione con il personale all’accesso a GitHub, dove erano archiviati i repository interni. Formalmente, alcune delle funzioni erano protette da VPN , ma bypassando il login e imitando i ruoli necessari, il ricercatore ha ottenuto un set completo di funzionalità amministrative.

Il quarto punto di accesso è SEIMS, un portale per lo scambio di documentazione ambientale e tecnica con i fornitori. In questo caso, la vulnerabilità risiedeva in un errore di verifica del token di base. Il sito accettava la stringa “Non autorizzato” (con un errore di ortografia) come token Bearer valido e consentiva di impersonare qualsiasi dipendente. Sostituendo l’ID utente con un ID utente arbitrario, era possibile aggirare l’autorizzazione, aprire report su prodotti e contratti con i partner e accedere a materiale riservato.

Un rapporto su tutte le vulnerabilità rilevate è stato presentato a Intel nell’autunno del 2024. L’azienda non ha pagato una ricompensa per tali scoperte, poiché la sua infrastruttura web è stata a lungo considerata al di fuori dell’area del programma bug bounty. L’unica risposta è stata una notifica automatica di ricezione delle lettere, ma le correzioni sono state implementate entro 90 giorni. Nell’agosto del 2025, lo specialista ha pubblicato un rapporto dettagliato, sottolineando che Intel aveva comunque esteso la politica di bug bounty per includere servizi e siti web.

Il caso è indicativo: le vulnerabilità a livello hardware portano fama e centinaia di migliaia di dollari, ma i portali web aziendali con accesso diretto a enormi quantità di dati non possono essere meno preziosi per gli aggressori.

L'articolo Vulnerabilità nei siti web di Intel: 270.000 dipendenti a rischio proviene da il blog della sicurezza informatica.

Altri cinque operatori dell’informazione uccisi a Gaza nell’ennesimo raid su un ospedale, un attacco mirato con un drone, in due tempi. I giornalisti sono obiettivi da colpire per le forze armate di Israele, testimoni da eliminare dell’incessante massacro di civili, sotto le bombe o per fame, della sistematica violazione dei diritti umani. Si uccidono i giornalisti sul campo, si impedisce l’accesso alla stampa indipendente, mentre si organizza una propaganda maldestra e offensiva con gli influencer, cui è affidato l’improba impresa di negare l’evidenza mostrata ogni giorno dalle immagini che arrivano da Gaza, proprio grazie ai giornalisti che sono diventati bersaglio: i morti sono oltre 240. Vittime insieme al diritto di cronaca, a quello dell’opinione pubblica mondiale di essere informata. È necessaria una mobilitazione su scala globale, a difesa del diritto di cronaca e della piena libertà di espressione.

La Segreteria dell’Asr

dicorinto.it/associazionismo/s…

Stop all’assassinio dei giornalisti in terra di Palestina

L’esercito israeliano ha ucciso altri 4 giornalisti. Si aggiungono agli oltre 200 giornalisti assassinati dopo il brutale assalto dei terroristi di Hamas contro Israele del 7 ottobre conteggiati da Reporters senza frontiere.

rsf.org/en/country/israel

Secondo Shireen.ps invece sono 270 gli operatori dell’informazione assassinati dalle Israel Defence Forces (IDF).

E questo nonostante il blocco all’ingresso in Palestina per i media internazionali.

In assenza di un’informazione plurale, collettiva, che mette in primo piano la testimonianza diretta, e sul campo, la verifica delle fonti e la deontologia giornalistica, l’alternativa è la disinformazione.

Per questo trovo molto interessante la lettura del magazine +972 di Tel Aviv, fatto da professionisti arabi e israeliani e vi consiglio di fare altrettanto.

L’ultima ottima inchiesta che ci ho trovato riguarda la Legitimation Cell, la squadra speciale israeliana che deve costruire le prove per accusare di terrorismo i pochi giornalisti rimasti nella striscia di Gaza.

Come potrebbe essere accaduto ad Anas al Sharif prima di ferragosto.

Anche questo lo racconterò nel mio prossimo libro in uscita a gennaio.

972mag.com/israel-gaza-journal…

hashtag#bringthemhomenow hashtag#ceasefire

rsf.org/en/gaza-least-four-mor…

dicorinto.it/associazionismo/d…

There’s little more to making alcoholic beverages than sugar, water, yeast, and time. Of course those with more refined or less utilitarian tastes may want to invest a bit more care and effort into making their concoctions. For beer making especially this can be a very involved task, but [Fieldman] has come up with a machine that helps automate the process and take away some of the tedium.

[Fieldman] has been making beers in relatively small eight-liter batches for a while now, and although it’s smaller than a lot of home brewers, it lends itself perfectly to automation. Rather than use a gas stove for a larger boil this process is done on a large hot plate, which is much more easily controlled by a microcontroller. The system uses an ESP32 for temperature control, and it also runs a paddle stirrer and controls a screen which lets the brewer know when it’s time to add ingredients or take the next step in the process. Various beers can be programmed in, and the touchscreen makes it easy to know at a glance what’s going on.

For a setup of this size this is a perfect way to take away some of the hassle of beer brewing like making sure the stove didn’t accidentally get too hot or making sure it’s adequately stirred for the large number of hours it might take to brew, but it still leaves the brewer in charge for the important steps.

Beer brewing is a hobby with a lot of rabbit holes to jump down, and it can get as complicated as you like. Just take a look at this larger brewery setup that automates more tasks on a much larger scale.

youtube.com/embed/2098iAXmmrU?…

hackaday.com/2025/08/26/automa…

The April 1926 issue of “Science and Invention” had a fascinating graphic. It explained, for the curious, how a photo of a rescue at sea could be in the New York papers almost immediately. It was the modern miracle of the wire photo. But how did the picture get from Plymouth, England, to New York so quickly? Today, that’s no big deal, but set your wayback machine to a century ago.

Of course, the answer is analog fax. But think about it. How would you create an analog fax machine in 1926? The graphic is quite telling. (Click on it to enlarge, you won’t be disappointed.)

If you are like us, when you first saw it you thought: “Oh, sure, paper tape.” But a little more reflection makes you realize that solves nothing. How do you actually scan the photo onto the paper tape, and how can you reconstitute it on the other side? The paper tape is clearly digital, right? How do you do an analog-to-digital converter in 1926?

It Really is a Wire PHOTO

The graphic is amazingly technical in its description. Getting the negative from Plymouth to London is a short plane hop. From there, a photographer creates five prints on specially-coated zinc plates. Where the emulsion stays, the plate won’t conduct electricity. Where the developer removes it, electricity will flow.
The picture of the vessel S.S. Antione sinking (including a magnified inset)
Why five? Well, each print is successively darker. All five get mounted to a drum with five brushes making contact with the plate. Guess how many holes are in the paper tape? If you guessed five, gold star for you.

As you can see in the graphic, each brush drives a punch solenoid. It literally converts the brightness of the image into a digital code because the photographer made five prints, each one darker than the last. So something totally covered on all five plates gets no holes. Something totally uncovered gets five holes. Everything else gets something in between. This isn’t a five-bit converter. You can only get 00000, 00001, 00011, 00111, 011111, and 11111 out of the machine, for six levels of brightness.

Decoding

The decoding is also clever. A light passes through the five holes, and optics collimates the light into a single beam. That’s it. If there are no holes in the tape, the beam is dark. The more holes, the brighter it gets. The light hits a film, and then it is back to a darkroom on the other side of the ocean.

The rest of the process is nothing more than the usual way a picture gets printed in a newspaper.

If you want to see the graphic in context, you can grab a copy of the whole magazine (another Hugo Gernsback rag) at the excellent World Radio History site. You’ll also see that you could buy a rebuilt typewriter for $3 and that the magazine was interested if the spirits of the dead can find each other in the afterlife. Note this was the April issue. Be sure to check out the soldering iron described on page 1114. You’ll also see on that page that Big Mouth Bill Bass isn’t the recent fad you thought it was.

We are always fascinated by what smart people would develop if they had no better options. It is easy to think that the old days were full of stone knives and bear skins, but human ingenuity is seemingly boundless. If you want to see really old fax technology, it goes back much further than you would think.

hackaday.com/2025/08/26/pictur…

Denmark made the widely-criticised CSA Regulation a priority on the very first day of their Council presidency, but show little willingness to actually find a compromise that will break the three-year long deadlock on this law. The Danish text recycles previous failed attempts and does nothing to assuage the valid concerns about mass surveillance and encryption. Not only is Denmark unlikely to be able to broker a deal, it also stands in the way of EU countries finding an alternative, meaningful, rights-respecting solution to tackling CSA online.

The post Denmark wants to break the Council deadlock on the CSA Regulation, but are they genuinely trying? appeared first on European Digital Rights (EDRi).

ICYMI

During the August 24th meeting, it was announced that the United States Pirate Party would begin hosting new member meetings for anyone interested in joining the party.

While our Pirate National Committee meetings over IRC (hosted bi-weekly on weeks between our meetings livestreamed to YouTube) are open to the public, we understand some people might feel more comfortable asking questions in a more direct, personable manner.

As well, not everyone who wants to get involved with the party knows where to start or, in some cases, feel comfortable joining the US Pirate Party Discord Server (which is otherwise the most effective way to get in contact with the party).

The answer? On the first Friday of every month, the United States Pirate Party will host not one, not three, but TWO meetings for those interested in getting involved with the USPP.

The meetings will provide a low stress, open invitation opportunity for those who have questions or inquiries about their state party, information on how to get involved, on-the-ground work and everything in-between.

The meetings will be held the first Friday on the month, starting Sept. 5th, with the two meetings taking place at NoonET and 5pmET.

You are encouraged to be there, or lest you invoke your status as a “square”.

And as always, thank you for your continued support of the United States Pirate Party.

Vote Pirate. Victory is Arrrs.

uspirates.org/icymi-new-monthl…

(ovvero: si può mandare un vocale per email?!)

Ci stiamo abituando a mandare tutto via chat.
Foto, video, audio, documenti di testo... per non parlare dei vocali, con cui riempiamo letteralmente le memorie dei telefoni!

Molto spesso non c'è bisogno di conservare tutto (conversazioni che un tempo sarebbero avenute per tefefono ora diventano interminabili scambi di vocali), o meglio: anziché ricordare il contenuto di una conversazione, ci capita di dover cercare e riascoltare i vocali dove si dicono cose importanti, persi in mezzo a quelli che potevamo benissimo cancellare...

E se vi dicessi che ci sono modi per inviare facilmente tutte queste cose con un link anche al di fuori delle chat?
Per chi, come me, ha deciso di uscire dal mondo Meta – e rinunciare perciò anche a WhatsApp, scoprire di poter inviare messagi vocali, oltre che ogni sorta di file, con un semplice link (e senza registrarsi o accedere a servizi) può fare la differenza e rendere la transizione molto più agevole.

Per esempio, inviare un'immagine come SMS ha un costo (nel mio caso, 50 centesimi), e lo stesso vale per ogni contenuto che usa il formato MMS. Per inviare un link, invece, basta un semplice SMS (solitamente incluso nel proprio piano standard).
Per quanto riguarda le email, lo spazio di archiviazione spesso finisce a causa di allegati pesanti che potevano benissimo essere inviati con un servizio temporaneo – e poi eventualmente salvati in locale dal ricevente.

Le soluzioni che presento sono molto più snelle dei servizi generici di trasferimento file, sono in genere dedicate a un solo tipo di contenuto e offrono una scadenza breve, perfetta per scambi rapidi o in tempo reale.

Per ognuna di esse troverete nelle immagini una guida intuitiva all'utilizzo.
Raccomando di fare attenzione a diffondere dati sensibili poiché questi servizi non sono in genere crittografati e i link (per quanto anonimi e costituiti da sequenze casuali) sono accessibili pubblicamente.

1) MESSAGGI VOCALI e file audio (Vocaroo)

Questo sito permette di registrare audio in tempo reale e conservarlo online, fornendo infine un link da inviare per permettere ad altri di ascoltarlo.
N.B.: dalle mie prove, l'audio risulta migliore disabilitando l'opzione "Rimuovi il rumore di fondo", accessibile toccando l'icona a forma di ingranaggio.

Con il pulsante Carica/Registra in alto a destra si può passare alla funzione di caricamento di un file audio già esistente.

2) VIDEO (Streamable)

I video sono i maggiori responsabili del consumo di memoria su tutti i nostri dispositivi e spesso li vediamo una volta sola, ma rimangono nel telefono per sempre.
Con Streamable si può caricare un video con un clic e senza registrazione e ottenere un link dove sarà visibile (senza sottoscrizione) per 2 giorni. Registrando un account gratuito, i video possono rimanere online per 90 giorni e si otengono alcuni vantaggi. Il sito offre piani a pagamento per soluzioni avanzate di hosting video.

3) IMMAGINI e album fotografici (Lutim)

Lutim è un'applicazione web open source ed è l'unico servizio tra quelli presentati che crittografa il contenuto dei file sul server (le immagini restano comunque visibili pubblicamente a chi ha il link).
È possibile caricare in modo semplice numerose immagini in una sola operazione (basta selezionarle insieme all'atto del caricamento) e condividere il link alla galleria che le contiene tutte.

È presente in varie istanze, che differiscono a volte per le possibilità che offrono (scelta del tempo di permanenza online e altro).

Istanze senza registrazione:
lutim.lagout.org
pic.infini.fr
img.tedomum.net

4) ALTRI FILE (Litterbox)

Questo servizio di upload temporaneo è il modo più rapido per inviare (quasi) ogni tipo di file* (dal pdf, al documento OpenDocument, ad altri tipi inclusi immagini, audio e video), purché di dimensione inferiore a 1 Gb. La scadenza va da un'ora a 3 giorni (si può decidere al momento del caricamento). I file non sono crittografati.

*) sono esclusi: .exe, .scr, .cpl, .doc*, .jar