Negli ultimi giorni il presunto data leak di Ernst & Young (EY) è diventato uno dei temi più discussi nel panorama della cybersecurity internazionale.

Ho deciso di ricostruire la vicenda passo dopo passo, partendo dalle evidenze tecniche condivise da Recorded Future e dall’analisi di Neo Security, per capire non solo come è avvenuta l’esposizione, ma anche cosa può insegnarci sul controllo degli asset digitali in ambienti cloud complessi come quelli di EY.

Il file, in formato .BAK, era raggiungibile senza autenticazione e potrebbe aver contenuto informazioni sensibili, come chiavi API, credenziali di servizio e token di autenticazione.

Recentemente si sono verificati episodi di blocchi riguardanti AWS e Microsoft Azure, a causa di configurazioni di accesso errate. Questi eventi fanno apparire il cloud come una fortezza fragile, che può essere compromessa da un semplice guasto o da una configurazione scorretta.
Fonte: NeoSecurity
L’episodio, pur essendo stato risolto rapidamente e senza evidenze di accessi malevoli, apre interrogativi sulla sicurezza post-acquisizione e sulla gestione della superficie d’attacco cloud.

La “cartografia digitale” di Neo Security

Come spiegato nel post ufficiale di Neo Security e nel report di Recorded Future, la scoperta è avvenuta durante un’operazione di attack surface mapping finalizzata a mappare le esposizioni pubbliche di grandi organizzazioni internazionali.

Durante la scansione, il team ha individuato un file .BAK accessibile senza autenticazione e ha eseguito una HEAD request, una richiesta HTTP che consente di leggere solo le intestazioni del file senza scaricarlo.

La risposta — HTTP 200 OK con un Content-Length di circa 4 TB — è bastata per capire che si trattava di un backup di dimensioni imponenti, potenzialmente contenente dati interni di grande valore.

Attraverso un’analisi dei metadati DNS e SOA, il bucket è stato collegato al dominio ey.com, riconducendolo all’infrastruttura EY.

In seguito, i ricercatori hanno identificato il file come un backup completo di Microsoft SQL Server, comprensivo non solo dello schema e dei dati applicativi, ma anche di possibili credenziali, chiavi API, token OAuth e password di servizio.

Dentro l’indagine di Neo Security

Neo Security descrive il proprio lavoro non come una semplice attività di scanning, ma come una vera e propria “cartografia digitale del rischio”, volta a individuare ciò che spesso le organizzazioni stesse ignorano di possedere.

Durante questa mappatura, il team ha rilevato l’anomalia su Azure e, attraverso una serie di richieste HTTP passive, ha confermato che il bucket era pubblicamente accessibile e conteneva un file di backup di circa 4 TB.

Secondo i ricercatori, la causa risiede in una ACL (Access Control List) configurata in modo errato: probabilmente un processo di backup automatizzato impostato su public per effetto di impostazioni di default troppo permissive.

Dopo la segnalazione, EY ha reagito con prontezza, chiudendo l’esposizione entro circa una settimana e collaborando con Neo Security nella fase di triage.

Pur non essendoci prove di un’esfiltrazione, il team sottolinea che i dati “potrebbero essere stati visibili a più soggetti durante la finestra temporale”, data la presenza costante di scanner automatici nel cyberspazio.
Questo articolo si basa su informazioni, integralmente o parzialmente tratte dalla piattaforma di intelligence di Recorded Future, partner strategico di Red Hot Cyber e punto di riferimento globale nell’intelligence sulle minacce informatiche. La piattaforma fornisce analisi avanzate utili a individuare e contrastare attività malevole nel cyberspazio.

L’esposizione nel tempo digitale

Nel suo articolo, Neo Security amplia la riflessione con un esempio concreto che rende perfettamente l’idea di cosa accade quando un asset cloud diventa pubblico anche solo per pochi minuti.

L’autore racconta di un precedente incident fintech, in cui un ingegnere aveva accidentalmente impostato come pubblico un bucket Amazon S3 e poi, dopo appena cinque minuti, aveva corretto l’errore convinto di essere al sicuro.

Non lo era affatto. In quei pochi minuti, l’intero database — con dati personali, credenziali e segreti aziendali — era già stato intercettato e copiato.

“Gli attaccanti non scansionano casualmente. Dispiegano migliaia di scanner automatizzati in ogni angolo di Internet.
Dispositivi IoT compromessi? Botnet. Router domestici violati? Botnet. Istanze cloud bucate? Botnet.”
(Neo Security, “The 4 TB Time Bomb”)

Queste reti di scanner distribuiti non “navigano” come utenti umani: setacciano costantemente l’intero spazio IPv4 — oltre 4,3 miliardi di indirizzi — in pochi minuti, sfruttando un’infrastruttura massicciamente parallela e ottimizzata per un solo scopo: trovare dati esposti.

È una sorta di “corsa all’oro automatizzata”, in cui ogni secondo conta. Ogni nuovo bucket S3, blob Azure o storage GCS configurato male diventa immediatamente bersaglio di migliaia di richieste simultanee.

Il tempo che separa lo stato misconfigured da exfiltrated non si misura più in ore o minuti, ma in secondi.

Nel caso citato da Neo Security, l’azienda vittima aveva registrato un picco anomalo del 400% sul traffico del sito web proprio in quei cinque minuti di esposizione: non erano utenti, ma bot automatizzati che scandagliavano ogni endpoint, alla ricerca di altri varchi.

Pochi minuti dopo, il database era già nei circuiti underground e l’azienda, schiacciata dal danno reputazionale e dai costi legali, non si è mai ripresa.

Questo esempio non serve a drammatizzare, ma a chiarire un punto fondamentale:
in un mondo dove le botnet scandagliano in tempo reale l’intera Internet, non esiste “errore temporaneo”. Anche un’esposizione di pochi istanti basta perché i dati vengano individuati, copiati e diffusi.

La dichiarazione EY

A seguito della divulgazione, EY ha diffuso una nota ufficiale:

“Several months ago, EY became aware of a potential data exposure and immediately remediated the issue. No client information, personal data, or confidential EY data has been impacted. The issue was localised to an entity that was acquired by EY Italy and was unconnected to EY global cloud and technology systems.”

La società precisa che l’incidente non avrebbe coinvolto la rete globale, ma una entità acquisita da EY Italia, separata dall’infrastruttura centrale del gruppo.

La dichiarazione di EY ha un tono rassicurante, ma mette in luce un punto critico spesso sottovalutato: la gestione della sicurezza nelle entità acquisite.

Ogni acquisizione porta con sé infrastrutture, procedure e talvolta vulnerabilità ereditate. Se questi ambienti non vengono integrati e sottoposti agli stessi standard globali, possono trasformarsi in punti ciechi nel perimetro di sicurezza.

Nel caso EY, non si tratta di un attacco sofisticato, bensì di un errore di configurazione in un ambiente ereditato. Tuttavia, in un contesto globale e distribuito, un singolo bucket dimenticato può generare un impatto reputazionale enorme — anche senza una violazione effettiva dei dati.

Impatto e raccomandazioni di Recorded Future

Nel suo commento finale, l’analista del team CTI di Recorded Future ricorda che, considerato il ruolo di EY nella gestione di audit, finanza e M&A, un’esposizione di questo tipo — se sfruttata — avrebbe potuto avere conseguenze regolatorie, operative e reputazionali.

L’azienda raccomanda di:

• riesaminare periodicamente le ACL e le policy di accesso ai bucket cloud;
• implementare strumenti di Cloud Security Posture Management (CSPM) per identificare configurazioni errate;
• adottare soluzioni di Attack Surface Management (ASM) per garantire una visibilità costante sugli asset esposti.

Il caso EY dimostra che oggi la sicurezza nel cloud non dipende solo da firewall o crittografia, ma dalla consapevolezza completa degli asset digitali. Un singolo bucket mal configurato può trasformarsi in una bomba da 4 terabyte, pronta a esplodere sulla reputazione di un colosso globale.

Che l’origine sia una società acquisita in Italia o un processo di backup automatizzato, l’insegnamento resta lo stesso:

“You can’t defend what you don’t know you own.”

Non puoi difendere ciò che non sai di possedere — una frase che riassume perfettamente il cuore della sicurezza cloud moderna.

Fonti:

• NeoSecurity: “The 4TB time bomb: when EY’s cloud went public (and what it taught us)”
• SDXCentral: EY subject of whopping 4TB data breach following cloud migration error
• Cyber Security News: EY Data Leak – Massive 4TB SQL Server Backup Exposed Publicly on Microsoft Azure
• Recorded Future

L'articolo Presunto Data Leak da EY: 4 TB di Backup SQL Esposti su Cloud Azure proviene da Red Hot Cyber.

[Prusa] have a number of announcements, and one of the more unusual ones is that liquid printing is coming to the Prusa XL. Specifically, printing in real, heat-resistant silicone (not a silicone-like plastic) is made possible thanks to special filament and a special toolhead. It’s the result of a partnership with Filament2, and the same process could even be used to print with other liquids, including chocolate.
Look closely and you will see the detail in the nozzle, which mixes the two-part formula.
The process is as unusual as it is clever. The silicone is a two-part formula, but there is no reservoir or pump involved. Instead, there are two filaments, A and B. When mixed, they cure into solid silicone.

What is unusual is that these filaments have a liquid core. Upon entering the extruder, the outer sheath is cut away, and the inner liquid feeds into a mini mixing nozzle. The nozzle deposits the mixed silicone onto the print, where it cures. It isn’t clear from the demo where the stripped outer casing goes, but we assume it must get discarded or is possibly stowed temporarily until it can be removed.

Liquid-core filament is something we certainly didn’t have on our bingo card, but we can see how it makes sense. A filament format means the material can be handled, fed, and deposited precisely, benefiting from all of the usual things a filament-based printer is good at doing.

What’s also interesting is that the liquid toolhead can co-exist with other toolheads on the XL; in fact, they make a point of being able to extrude silicone as well as the usual thermoplastics into the same print. That’s certainly a trick no one else has been able to pull off.

There are a few other announcements as well, including a larger version of their Core One printer and an open-source smart spool standard called OpenPrintTag, a reusable and reprogrammable NFC insert for filament spools that gives you all of the convenience of automating color and material reading without the subtle (or overt) vendor lock-in that comes with it.

Watch a demo of the new silicone extruder in the video, embedded just under the page break. The new toolhead will be 1,009 USD when it launches in early 2026.

youtube.com/embed/Ugew7tXiU38?…

hackaday.com/2025/11/02/3d-pri…

Wouldn’t it be nice to 3D print an entire custom tire for small robots? It sure would, so [Angus] of [Maker’s Muse] decided to investigate whether nifty new filaments like expanding TPU offer anything new in this area. He did more than just print out a variety of smooth tires; he tested each with a motorized platform attached to a load cell, driving on a dusty sheet of MDF to simulate the average shop floor, or ant weight combat robot arena.

Why bother making your own wheels? As [Angus] points out, when one is designing their own robots from scratch, it’s actually quite difficult to find something off the shelf that is just the right size. And even if one does find a wheel that is just right, there’s still the matter of fitting it to the shaft. Things would be so much easier if one could simply 3D print both wheel and tire in a material that performs well.
Like TPU, but squishier.
Here’s what he found: Siraya Tech’s TPU air filament (about 70A on the Shore hardness scale) performed the best. This is TPU plus a heat-activated additive that foams up during extrusion, resulting in a flexible print that looks and feels more like foam than usual TPU. It makes a promising tire that performs as well as it looks. Another expanding filament, PEBA air (also from Siraya Tech) didn’t look or perform as well, but was roughly in the same ballpark.

Both performed better than the classic DIY options of 3D-printed plain TPU, or laser-cut EVA foam. It’s certainly a lot less work than casting custom tires.

What about adding a tread pattern? [Angus] gave it a try. Perhaps unsurprisingly, a knobby tire has worse traction compared to a smooth tire on smooth MDF. But sometimes treads are appropriate, and as [Angus] points out, if one is 3D printing tires then adding treads comes at essentially zero cost. That’s a powerful ability.

Even if you are not interested in custom wheels, that foaming TPU filament looks pretty nifty. See for yourself in the video, embedded just below. If you find yourself finding a good use for it, be sure to drop us a tip!

youtube.com/embed/Ky633_6OA6U?…

hackaday.com/2025/11/02/does-3…

A piezo disk transducer is a handy part for reproducing beeps and boops, and can also function as a rudimentary microphone. Being a piezoelectric element, it can also generate usable power. Enough to run a radio transmitter? [b.kainka] is here to find out, with what may be the simplest possible transmitter circuit.

The active element in the circuit, such as it is, comes from a crystal. This functions as an extremely stable and high Q tuned circuit. When excited by a pulse of electricity, the circuit will carry oscillations in a similar manner to a bell ringing until the pulse is exhausted. A small lever fashioned from a piece of wire supplies the voltage by flexing the piezo disk and a contact, a diode discharges the reverse voltage as the disk returns to shape, and a small capacitor provides an AC path to ground. It works, if a small pulse of very low-power RF near the crystal’s frequency can be described as working.

It may not be the most practical transmitter, but it’s certainly something we’ve not seen before. It’s part of our 2025 Component Abuse Challenge, for which you still have time to make an entry yourself if you have one.

hackaday.com/2025/11/02/2025-c…

Abbiamo recentemente pubblicato un approfondimento sul “furto del secolo” al Louvre, nel quale sottolineavamo come la sicurezza fisica – accessi, controllo ambientale, vigilanza – sia oggi strettamente interconnessa alla sicurezza logica, ovvero reti, sistemi e dati.

In quell’articolo abbiamo descritto come l’attacco al Musée du Louvre potesse essere interpretato come un vero e proprio physical‑pen test messo in atto dai malintenzionati tramite tecniche avanzate di OSINT e di CTI (Cyber Threat Intelligence) preparatorie: una ricognizione dettagliata, studio dei turni, dei flussi, e delle vulnerabilità procedurali, che ha creato le condizioni per il colpo del secolo.

Il sistema di sicurezza aveva password banali

Il “colpo del secolo” continua a scuotere la Francia, e alcuni giornali hanno riportato delle clamorose falle nei sistemi di sicurezza del museo più visitato al mondo. Sembrerebbe che dei documenti ufficiali, risalenti al 2014 e aggiornati fino al 2024, mostrano che le password dei sistemi di videosorveglianza erano estremamente banali: “LOUVRE” e “THALES“, rispettivamente il nome del museo e del software di sicurezza incaricato di proteggerlo.

La scoperta, riportata da Libération, getta una luce critica su un sistema considerato impenetrabile, ma che mostra evidenti vulnerabilità. La ministra della Cultura, Rachida Dati, inizialmente difensiva, ha dichiarato che “gli allarmi hanno suonato”, ma ha poi ha riconosciuto davanti alla Commissione Cultura del Senato che “ci sono state mancanze nella sicurezza” e che servirà un’indagine approfondita per chiarire le responsabilità.

Il 20 ottobre, poco dopo l’apertura del museo, un camion con montacarichi parcheggiato contromano sulla facciata che si affaccia sulla Senna ha facilitato l’accesso a uno dei furti più audaci nella storia del Louvre. Due uomini sono penetrati nella Galleria di Apollo, sala che custodisce alcuni dei tesori più preziosi della Francia, tagliando le vetrine con smerigliatrici in pochi minuti. Il bottino, stimato in 88 milioni di euro in gioielli, è stato raccolto e trasportato da complici in attesa su scooter Yamaha T Max.

Password e falle nella sicurezza

Le telecamere, che avrebbero dovuto documentare l’intero colpo, hanno restituito immagini poco chiare e incomplete. Dopo una settimana di indagini, la polizia francese ha effettuato due ondate di arresti, il 25 e il 29 ottobre, portando in totale sette persone in custodia cautelare. Quattro di loro sono state formalmente accusate di rapina organizzata e associazione a delinquere, mentre tre sono state rilasciate. I sospetti principali, due uomini di 37 anni, avevano precedenti per furto risalenti al 2015 e risiedevano a Seine-Saint-Denis.

Il dossier più imbarazzante riguarda la gestione digitale del museo. Già nel dicembre 2014, tre esperti dell’Agenzia nazionale per la sicurezza dei sistemi informatici (ANSSI) avevano condotto un’ispezione della rete informatica del Louvre, analizzando telecamere, allarmi e controlli d’accesso. Il rapporto evidenziava un rischio significativo: chiunque fosse riuscito a prendere il controllo della rete avrebbe facilitato furti di opere d’arte.

La password predicibili/banali, risultano quindi uno degli elementi più sostanziali dell’intero sistema di sicurezza che ha facilitato il colpo del secolo.

La fortezza caduta proprio sulla sorveglianza del forziere

Il Louvre, simbolo globale dell’arte e della cultura, si trova ora sotto la lente del pubblico e dei media. La vicenda ha messo in evidenza problemi di gestione, manutenzione frammentaria e trasparenza insufficiente. Per la ministra Dati, in corsa per la sindacatura di Parigi, il furto rappresenta un duro colpo politico. L’inchiesta amministrativa è ancora in corso, ma il danno d’immagine è già evidente: il museo che custodisce la Gioconda non è riuscito a proteggere nemmeno se stesso.

Questo episodio diventa emblematico del paradosso tecnologico moderno: strumenti avanzati che dovrebbero garantire sicurezza possono, se mal gestiti, diventare il punto più vulnerabile di istituzioni apparentemente solide.

L'articolo Furto al Louvre: la password “LOUVRE” del sistema di sorveglianza ha messo in crisi il museo proviene da Red Hot Cyber.