Another week, another Hackaday podcast, and for this one Elliot is joined by Jenny List, fresh from the BornHack hacker camp in Denmark.

There’s a definite metal working flavour to this week’s picks, with new and exciting CNC techniques and a selective electroplater that can transfer bitmaps to metal. But worry not, there’s plenty more to tease the ear, with one of the nicest cyberdecks we’ve ever seen, and a bird that can store images in its song.

Standout quick hacks are a synth that makes sounds from Ethernet packets, and the revelation that the original PlayStation is now old enough to need replacement motherboards. Finally we take a closer look at the huge effort that goes in to monitoring America’s high voltage power infrastructure, and some concerning privacy news from the UK. Have a listen!

frame for podcast

And/or download your own freshly-baked MP3, full of unadulterated hacky goodness.
Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 331 Show Notes:

News:

• We’ve reache the halfway point: Announcing The 2025 Hackaday One Hertz Challenge

What’s that Sound?

• If you know what this week’s sound is, enter your best guess here.

Interesting Hacks of the Week:

• Painting In Metal With Selective Electroplating
• A Dual-Screen Cyberdeck To Rule Them All
• Human In The Loop: Compass CNC Redefines Workspace Limits
• AVIF: The Avian Image Format
• Skateboard Wheels Add Capabilities To Plasma Cutter
• Engrave A Cylinder Without A Rotary Attachment? No Problem!
• The LumenPnP Pasting Utility: Never Buy Solder Stencils Again?

Quick Hacks:

• Elliot’s Picks:
  
  • Transparent PCBs Trigger 90s Nostalgia
  • Listening To Ethernet Via Eurorack
  • Read QR Codes On The Cheap
  • 2025 One-Hertz Challenge: A Clock Sans Silicon

  
  

• Jenny’s Picks:
  
  • A Non-Sony Playstation Motherboard Replacement
  • A Cable Modem, The Way All Network Gear Should Be Mounted
  • A Very Tidy Handheld Pi Terminal Indeed

  
  

Can’t-Miss Articles:

• Power Line Patrols: The Grid’s Eye In The Sky
• When Online Safety Means Surrendering Your ID, What Can You Do?

hackaday.com/2025/08/01/hackad…

When a tipster came to us with the line “One dollar BASIC computer”, it intrigued us enough to have a good look at [Stan6314]’s TinyBasRV computer. It’s a small PCB that forms a computer running BASIC. Not simply a microcontroller with a serial header, this machine is a fully functioning BASIC desktop computer that takes a PS/2 keyboard and a VGA monitor. Would that cheap price stand up?

The board uses a CH32 microcontroller, a RISC-V part that’s certainly very cheap indeed and pretty powerful, paired with an I2C memory chip for storage. The software is TinyBASIC. There’s some GPIO expandability and an I2C bus, and it’s claimed it can run in headless mode for a BASIC program to control things.

We haven’t added up all the parts in the BoM to check, but even if it’s not a one dollar computer it must come pretty close. We can see it could make a fun project for anyone. It’s certainly not the only small BASIC board out there, it’s got some competition.

Thanks [Metan] for the tip.

hackaday.com/2025/08/01/a-prop…

Un nuovo studio di Microsoft offre uno sguardo sorprendente (e inquietante) su come l’intelligenza artificiale generativa stia rimodellando la forza lavoro globale. Contrariamente a quanto si pensa, non sono solo i professionisti del settore high-tech a percepire il cambiamento: anche venditori, giornalisti, correttori di bozze e traduttori sono nel mirino dell’intelligenza artificiale.

E queste non sono solo previsioni, ma si basano su dati di utilizzo reali che stanno ridisegnando la mappa dell’occupazione. In cima alla lista dei “più colpiti” ci sono i lavori incentrati sull’informazione, la comunicazione e la creazione di contenuti, come traduttori, storici e scrittori. Si tratta di ruoli in cui i modelli linguistici eccellono, assistendo gli utenti in attività quali la riscrittura, la sintesi o la traduzione con precisione e velocità.

Al contrario, i ruoli pratici o fisicamente impegnativi difficilmente si intersecano con ciò che i chatbot sono in grado di fare. Tra questi rientrano lavori come elettricisti, idraulici, addetti alla rimozione di materiali pericolosi. In parole povere: l’intelligenza artificiale può imitare il lavoro intellettuale, ma non il lavoro manuale.

Tuttavia, lo studio di Microsoft sull’intelligenza artificiale ha evitato di fare affermazioni generali sulla perdita o la creazione di posti di lavoro. Non si è ancora arrivati a dire se la tecnologia sostituirà posti di lavoro o semplicemente li rimodellerà. Questa questione è al centro di un acceso dibattito nel settore tecnologico. Intanto il CEO di Anthropic, Dario Amodei, ha recentemente lanciato un monito all’opinione pubblica: entro cinque anni potrebbe scomparire fino alla metà di tutti i posti di lavoro impiegatizi di livello base.

Il responsabile del design della Mercedes-Benz si è spinto oltre, affermando che l’intelligenza artificiale lo sostituirà tra 10 anni e che sarà anche molto più economica. Altri, come il miliardario Mark Cuban, sostengono che la tecnologia finirà per creare nuovi posti di lavoro. Kiran Tomlinson, ricercatore capo di Microsoft, ha sottolineato che i risultati indicano un supporto a livello di attività piuttosto che un’automazione completa del lavoro.

Tuttavia, alcuni temono che sia solo questione di tempo prima che la robotica e l’intelligenza artificiale inizino a insinuarsi anche in questi ambiti. Lo studio solleva interrogativi più ampi su come le società e i governi intendono gestire i cambiamenti che l’intelligenza artificiale porterà con sé. Mentre alcuni esperti sperano che l’intelligenza artificiale liberi le persone da compiti noiosi o contribuisca a risolvere grandi problemi come malattie o povertà, altri temono l’aumento della disoccupazione, delle disuguaglianze e dei disordini sociali.

In altre parole, l’intelligenza artificiale potrà aiutarti a semplificare il lavoro, ma è ancora improbabile che possa prenderne completamente il controllo. Un’altra importante avvertenza: lo studio ha valutato solo l’impatto di grandi modelli linguistici, ma non di altri tipi di intelligenza artificiale. Quindi, anche se oggi i chatbot non stanno sostituendo gli autisti di camion, i progressi nella robotica o nella guida autonoma potrebbero avere un impatto su questi settori in futuro.

Tuttavia, lo studio rafforza il crescente consenso sul fatto che questa rivoluzione colpisca innanzitutto i lavori d’ufficio.

L'articolo Microsoft stila la lista dei 40 lavori che scompariranno grazie all’AI. I lavori “pratici” resistono proviene da il blog della sicurezza informatica.

Microsoft continua a impegnarsi per contrastare i meccanismi potenzialmente pericolosi in Office e Windows annunciando nuove restrizioni in Excel.

A partire da ottobre 2025, Microsoft adotterà misure drastiche per isolare Excel da fonti potenzialmente pericolose. La nuova policy di blocco dei collegamenti esterni a determinati tipi di file diventerà attiva per impostazione predefinita e raggiungerà tutti gli utenti di Excel in un’implementazione in più fasi che sarà completata entro luglio 2026.

Ciò significa che tutte le cartelle di lavoro che fanno riferimento a tali formati smetteranno di aggiornare i dati o genereranno un errore #BLOCKED, eliminando un vettore di attacco precedentemente utilizzato per iniettare codice dannoso tramite collegamenti a documenti esterni.

L’innovazione è implementata tramite un nuovo criterio di gruppo FileBlockExternalLinks , che espande le attuali impostazioni di sicurezza di File Block Settings per includere non solo l’apertura locale di determinati tipi di file, ma anche i collegamenti remoti all’interno dei documenti Excel. Come spiegato da Microsoft in un messaggio pubblicato nell’interfaccia su Microsoft 365, un avviso relativo alla modifica inizierà a comparire nella barra delle notifiche all’apertura di file contenenti tali collegamenti, a partire dalla build di Excel versione 2509 .

Tuttavia, già nella build 2510 entrerà in vigore una nuova logica di elaborazione: se la policy non viene configurata, Excel smetterà di supportare l’aggiornamento e la creazione di nuovi collegamenti ai formati presenti nella blacklist del Centro protezione. Allo stesso tempo, Microsoft sottolinea che non verranno apportate modifiche fino a ottobre 2025, anche senza la configurazione della policy: le organizzazioni avranno il tempo di prepararsi e informare gli utenti.

Per mantenere l’accesso a tali file, gli amministratori di Microsoft 365 possono modificare manualmente il Registro di sistema aggiungendo la chiave HKCUSoftwareMicrosoftOfficeExcelSecurityFileBlockFileBlockExternalLinks. Istruzioni dettagliate sono disponibili nella Knowledge Base ufficiale di Microsoft.

Questo aggiornamento fa parte di un più ampio sforzo per affrontare la sicurezza di vulnerabilità che vengono attivamente sfruttate dagli aggressori per diffondere malware. Nel corso del 2024 e del 2025, Microsoft ha costantemente rafforzato le misure di sicurezza nei prodotti Office e Windows, disabilitando i controlli ActiveX in tutte le versioni di Microsoft 365 e Office 2024, aggiungendo formati .library-msall’elenco .search-ms degli allegati vietati in Outlook e introducendo ulteriori misure contro macro ed estensioni .

Dal 2018, quando è stato introdotto il supporto per Antimalware Scan Interface (AMSI) in Office 365, Microsoft ha sistematicamente chiuso i canali vulnerabili: le macro VBA sono state gradualmente disabilitate, gli script XLM (Excel 4.0) sono stati vietati, è stato aggiunto il filtraggio dei componenti aggiuntivi XLL ed è stato annunciato l’imminente abbandono di VBScript in quanto meccanismo arcaico e pericoloso.

Tutte queste misure mirano a ridurre al minimo i rischi associati agli attacchi basati sui documenti, tra cui il phishing tramite file Excel e il download di componenti eseguibili tramite link esterni. Come dimostrano recenti ricerche, tali metodi sono ancora attivamente utilizzati dagli aggressori per distribuire downloader e trojan dannosi , mascherati da legittimi sistemi di integrazione tra documenti.

Nello stesso giorno, Microsoft ha annunciato l’aumento delle ricompense per vulnerabilità critiche, consentendo ai ricercatori di guadagnare fino a 40.000 dollari per bug che interessano le piattaforme .NET e ASP.NET Core. Questa decisione rafforza l’investimento dell’azienda nella collaborazione con la comunità della sicurezza informatica e sottolinea la priorità che attribuisce alla sicurezza come componente chiave dell’ecosistema Microsoft 365 e Office.

Gli amministratori devono verificare in anticipo le dipendenze nei documenti esistenti e, se necessario, adattare i processi aziendali prima che le restrizioni entrino in vigore.

L'articolo Zero Tollerance in Office! Microsoft bloccherà i link esterni in Excel per sicurezza proviene da il blog della sicurezza informatica.

Guardo con grande interesse alle svariate vie lungo le quali si sviluppa l’approccio sistemico, alla molteplicità di versioni che ne nascono nelle stanze e nelle pratiche dei colleghi. Guardo con gratitudine al modo in cui tanti clinici, sia più esperti sia più giovani di me, interpretano un modo di lavorare che non s’impone come una dottrina ma si propone come una cornice da riempire nell’incontro con l’unicità di tante storie e nell’esercizio della responsabilità etica ed epistemologica del singolo clinico...

massimogiuliani.it/blog/2025/0…

"Teorie attaccapanni": crisi e creatività nella formazione del terapeuta sistemico - Corpi che parlano, il blog

La formazione sistemica, senza la biografia del clinico, è un attaccapanni vuoto. Riflessioni su creatività e originalità nel percorso formativo.

^{Massimo Giuliani (Corpi che parlano, il blog)}

Le parole con cui il governo ha commentato l'ennesimo schiaffo sui centri albanesi chiariscono ancora meglio quale enorme problema di Educazione Civica (con le maiuscole perché mi riferisco alla materia che non abbiamo mai fatto a scuola) ci sia in questo paese.

Chi ha commentato la notizia sicuramente conosce bene la questione, ma sa anche che chi ascolta ha idee molto vaghe su come funzioni una democrazia, il nostro paese in particolare, e quindi sa di potergli rifilare qualunque patacca.

Ebbene... no... vincere le elezioni non significa diventare proprietari di un paese intero e poterne fare e disfare a piacimento. Vincere le elezioni significa solo che hai i numeri in Parlamento per fare leggi e per decidere chi dovrà governare il paese.

Ma né il potere di fare leggi né il potere di governare il paese sono poteri senza limiti. Nel fare le leggi hai il limite di poterti muovere solo all'interno del perimetro tracciato dalla Costituzione e nel governare hai il limite di poter agire solo all'interno del perimetro tracciato dalle leggi.

E se esci da questi perimetri trovi il terzo potere che ti ci riporta dentro: il potere giudiziario.

Tutto qui... tre poteri che si bilanciano e nessuno di loro può uscire dai limiti imposti.

Puoi strillare che c'è un complotto, e sicuramente in molti ti crederanno per carità (del resto quanti di loro si sono mai fatti un corso di Educazione Civica?), ma finché non la abbatti, quella è e quella resta.

E' la democrazia, baby.

The Tea app has had a rough week. It’s not an unfamiliar story: Unsecured Firebase databases were left exposed to the Internet without any authentication. What makes this story particularly troubling is the nature of the app, and the resulting data that was spilled.

Tea is a “dating safety” application strictly for women. To enforce this, creating an account requires an ID verification process where prospective users share their government issued photo IDs with the platform. And that brings us to the first Firebase leak. 59 GB of photo IDs and other photos for a large subset of users. This was not the only problem.

There was a second database discovered, and this one contains private messages between users. As one might imagine, given the topic matter of the app, many of these DMs contain sensitive details. This may not have been an unsecured Firebase database, but a separate problem where any API key could access any DM from any user.

This is the sort of security failing that is difficult for a company to recover from. And while it should be a lesson to users, not to trust their sensitive messages to closed-source apps with questionable security guarantees, history suggests that few will learn the lesson, and we’ll be covering yet another train-wreck of similar magnitude in another few months.

The Pi-hole (And Many Others’) Donor Leaks

The folks at Pi-hole are leading the charge in reporting on the leaks of the name and email addresses of donors to that and many other projects. The problem was actually in version 4.6.0 of GiveWP, a popular WordPress plugin.

Well this sucks: @The_Pi_Hole, my favourite maker of network-level blocker of nasty things, has inadvertently been caught up in a data breach by virtue of a WordPress plugin they use for donations: t.co/ANSMIA5u5G

— Troy Hunt (@troyhunt) July 30, 2025

The details of what happened aren’t pretty. The plugin had a bug where it was injecting the entire donor list into the source code of the site using the plugin. The only redeeming element here is that those leaks were strictly limited to name and email address. But of course, that’s enough for bad actors to scrape the lists and start sending spearphishing emails, which has already happened.

One more thing to cover regarding this issue is the response from Impress.org, the makers of the plugin. The problem was fixed within hours of the report on GitHub. This turn-around is great, but the vulnerable plugin was out for a full week before it was disclosed to the authors. The official comments from Impress.org on the GitHub issue linked above fall just a bit short on recognizing the severity of the issue, and taking responsibility. At the same time, it’s extremely challenging to strike the right note when writing up a response to an issue like this.

Pi in the Bank

We’ve covered a case or two where a mysterious Raspberry Pi was discovered on the network, but this one is a bit different. First off, the network in question belongs to a bank. And second, this Pi had a 4G cellular modem strapped to it.

It turns out, this device was dropped as part of a scheme by the cyber crime group tracked as UNC2891. This attack has been reported to have taken place in Asia, with not much more details about the target. It’s believed that this was an attempt to infiltrate the bank’s ATM network, and eventually compromise a Hardware Security Module (HSM), and ultimately steal money from the bank.

This attack was quite sophisticated, with a new technique demonstrated, to hide malicious processes via Linux Bind mounts. This works by bind mounting an existing processes /proc/ folder over that of the process to hide. Many utilities won’t catch the switcherwoo, as the kernel file handling will follow the bind mount over the real files. Though we do take some issue with the write-up referring to a bind mount as an “obscure Linux feature”.

And since we’re talking about banking, do you know how wire transfers actually work? It turns out, it’s an ASCII file just under 1k, sent using SFTP. There are some very old quirks to these files, like the insistence that the number of lines in the file be a multiple of 10, and the padding with 9s.

When you make a Bank ACH transaction, it’s literally just an SFTP upload.

Sent as a NACHA file, it's 940 bytes of ASCII text.

Bank-to-Bank transactions cost ~0.2 cents. As long as it travels via encrypted tunnel; it’s compliant!

Here’s how the quirky system works: pic.twitter.com/NHewY8Ojgn

— LaurieWired (@lauriewired) July 29, 2025

Rooting the Root AIs

There have been a rash of stories recently about what can happen when an agentic AI has too much power and ineffective guard rails. This week is no different, with the first story being about prompt injection in Gemini. This AI agent does have guardrails, in the form of a whitelist of commands that it is allowed to run on the system. The problem is that it’s not always apparent to users what commands have security implications.

Then there is Copilot Enterprise, which gained a Python sandbox and Jupyter Notebook earlier this year. And Copilot is perfectly happy to help the user troubleshoot how to run commands using the %command syntax. That gives just enough purchase to get root access in the Jupyter container, but that’s where this exploitation ends. It is interesting, how often the key to compromising an AI is simply to ask nicely.

Zero-Trust Falls to CSRF

We don’t know the start-up that this penetration test tested, but we do know that they were building a zero-trust platform for secure VPN-like access. The entire stack was defeated by an attack as simple as a Cross-Site Request Forgery (CSRF) and an improper Cross-Origin Resource Sharing (CORS) configuration. JavaScript running on a malicious web page could use these two weaknesses to access an SSH key generation utility on the target infrastructure, and smuggle the key out. This lead to a complete AWS identity takeover and more. It was a complete win for the red team, and immensely valuable to the client to find this vulnerability chain this way, rather than in production.

Nvidia Backdoors?

The other big news this week is what sounds like an accusation from Chinese officials that Nvidia has put a backdoor in its new H20 device. These Enterprise GPUs are engineered specifically for export to China, to meet the current US export restrictions around AI hardware. It’s unclear what exactly is going on here, but it’s not very likely that Nvidia actually put backdoors in their hardware, regardless of the intended market.

Bits and Bytes

CISA has released a new security tool as Open Source. Thorium is a new file analysis tool designed to safely investigate binaries.

CrushFTP has an RCE because of missed authentication check on an endpoint. It allows an XML-RPC call to request the use of system.exec, which does exactly what it says it does. This manages a 9.8 CVSS as it’s unauthenticated, simple to pull off, accessible from the network, and grants RCE.

And finally, what certainly wins the simplest hack of the week award, [Mahmoud El Manzalawy] was looking at a CRM solution, and discovered an HTTP POST call that was replying with a 201 status, indicating it was successfully inserting a record into the remote database. What happens if that POST was changed to a GET and resent? The application responds with a full dump of the user database. It’s not supposed to do that. Which seems to sum up everything we cover in this column.

hackaday.com/2025/08/01/this-w…

Con la crescente integrazione degli strumenti Linux nei sistemi consumer, Apple ha compiuto un passo importante verso i professionisti della sicurezza informatica. Con il rilascio di macOS Sequoia, l’azienda ha introdotto il proprio sistema a container, consentendo alle distribuzioni Linux di funzionare in un ambiente virtuale isolato sui dispositivi Apple Silicon. Una delle prime distribuzioni compatibili è stata Kali Linux, una popolare piattaforma per penetration test e analisi di sicurezza.

Alla WWDC 2025 è stato annunciato un nuovo framework chiamato Container. Questo meccanismo consente a Linux di funzionare all’interno della virtualizzazione integrata in macOS, senza la necessità di installare un hypervisor di terze parti. La tecnologia è disponibile esclusivamente sui computer con processori ARM di Apple, il che la rende non disponibile per i possessori di Mac con processore Intel.

L’ambiente container viene installato tramite Homebrew con il comando brew install –cask container, dopodiché il sistema viene attivato tramite container system start . L’utente può quindi avviare Kali con il comando container run –rm -it kalilinux/kali-rolling , che estrae l’immagine da DockerHub e la esegue all’interno della macchina virtuale macOS. Se necessario, è possibile montare una directory locale all’interno del container utilizzando –volume e –workdir , consentendo a Kali di accedere direttamente ai file host.

Tuttavia, l’implementazione di Apple presenta delle limitazioni. Kali Linux segnala ufficialmente problemi con le interfacce di rete in Sequoia 15: i container potrebbero non avere un indirizzo IP o l’accesso alla rete potrebbe essere completamente bloccato. Il team consiglia di fare affidamento sulla documentazione di Apple per risolvere tali problemi. Inoltre, secondo gli esperti, qualsiasi attività che richieda l’accesso diretto all’hardware fisico non potrà essere eseguita in questa configurazione: i container sono, per definizione, isolati dall’hardware.

Nonostante queste sfumature, la possibilità di eseguire Kali su macOS senza dover configurare una macchina virtuale completa o utilizzare il dual boot semplifica notevolmente il lavoro quotidiano di pentester e analisti. Questo è particolarmente importante per coloro che preferiscono macOS come sistema operativo principale, ma utilizzano regolarmente strumenti Linux. Le funzionalità del nuovo framework rendono l’esecuzione di Kali quasi semplice quanto lavorare con Docker, mantenendo al contempo sicurezza e prestazioni relativamente elevate.

Per Apple, questa mossa segna un più ampio riconoscimento dell’importanza di Linux nei flussi di lavoro professionali. E per la comunità della sicurezza informatica, rappresenta un ulteriore ponte tra due mondi a lungo separati da barriere architettoniche.

L'articolo Kali Linux ora su macOS Sequoia con Apple Silicon! la containerizzazione secondo Apple proviene da il blog della sicurezza informatica.

La Zero Day Initiative (ZDI) di Trend Micro ha annunciato una ricompensa degna da broker zeroday!

Si parla di una ricompensa senza precedenti pari ad 1.000.000 di dollari per chi riuscirà a sviluppare un exploit di esecuzione di codice remoto (RCE) zero-click contro WhatsApp durante l’edizione 2025 di Pwn2Own Ireland.

Questa taglia record, co-finanziata da Meta, segna la più alta vincita singola mai offerta nella storia del concorso e mette in evidenza quanto sia cruciale proteggere la piattaforma di messaggistica più popolare al mondo.

Punti chiave

1. Taglia record di 1 milione di dollari per un exploit zero-click su WhatsApp
2. Concorso articolato in 8 categorie; iscrizioni entro il 16 ottobre 2025
3. L’aumento della ricompensa da 300.000 a 1.000.000 di dollari riflette la crescente minaccia degli attacchi da parte di stati nazionali e attraverso l’utilizzo di spyware

Ricompense per exploit zero-click su WhatsApp

La collaborazione tra Meta e Pwn2Own Ireland 2025 segna un cambio di passo nella strategia dei big tech per incentivare la ricerca sulle vulnerabilità più critiche. Con oltre tre miliardi di utenti, WhatsApp rappresenta un obiettivo privilegiato per attori sponsorizzati da stati nazionali e gruppi APT (Advanced Persistent Threat), che puntano a comprometterla senza bisogno di alcuna interazione dell’utente.

L’incremento della taglia rispetto ai 300.000 dollari dello scorso anno testimonia l’impegno crescente di Meta nella prevenzione proattiva delle minacce più sofisticate. In particolare, il premio da un milione di dollari sarà riservato a exploit zero-click capaci di ottenere l’esecuzione completa di codice remoto.

Saranno comunque previsti premi minori per vulnerabilità che richiedono un’interazione minima o che portano solo a un’escalation di privilegi, come indicato dall’organizzazione. Questo sistema di ricompense a più livelli mira a stimolare la ricerca sull’intera superficie d’attacco dell’app, dai bug di corruzione della memoria a difetti logici nella gestione dei messaggi.

Le altre categorie del concorso

Pwn2Own Ireland 2025 si terrà a Cork dal 21 al 24 ottobre e includerà otto categorie che riflettono il panorama delle minacce moderne. Oltre alla categoria di messaggistica, i ricercatori potranno cimentarsi con:

• Nuovi attacchi tramite porta USB su dispositivi mobili, dimostrando attacchi di prossimità anche contro dispositivi bloccati;
• La categoria SOHO Smashup, che premia con 100.000 dollari e 10 punti “Master of Pwn” chi riuscirà a concatenare exploit su dispositivi di rete domestica nell’arco di 30 minuti;
• Dispositivi domestici smart, sistemi NAS di QNAP e Synology, dispositivi di sorveglianza e la tecnologia indossabile di Meta, come gli occhiali Ray-Ban e i visori Quest 3/3S.

Ogni categoria richiede exploit realistici, basati su superfici d’attacco esposte alla rete, vettori RF o scenari di prossimità.

Iscrizioni e aspettative

Le iscrizioni si chiuderanno alle ore 17:00 (ora irlandese) del 16 ottobre 2025. L’ordine delle dimostrazioni verrà stabilito tramite sorteggio. Nell’edizione 2024, Pwn2Own Ireland aveva premiato vulnerabilità per un valore complessivo di 1.066.625 dollari, riconoscendo oltre 70 exploit zero-day unici.

Con la partnership strategica di Meta e l’ampliamento delle categorie in gara, Pwn2Own Ireland 2025 promette di offrire un palcoscenico alle tecniche di exploit più avanzate, rafforzando la sicurezza globale attraverso la divulgazione responsabile delle vulnerabilità.

L'articolo WhatsApp nel mirino! Al Pwn2Own Ireland 2025, 1 milione di dollari per un exploit RCE zero-click proviene da il blog della sicurezza informatica.

😂😂😂

ilpost.it/2025/08/01/sentenza-…

Sui “paesi sicuri” l’Unione Europea ha dato torto al governo

Con una sentenza della Corte di giustizia che avrà conseguenze soprattutto sui centri in Albania, almeno fino all'anno prossimo

^{Il Post}

Despite being a readily-available source of useful plastic, massive numbers of disposable bottles go to waste every day. To remedy this problem (or take advantage of this situation, depending on your perspective) [Igor Tylman] created the PETmachine, an extruder to make 3D printer filament from PET plastic bottles.

The design of the extruder is fairly standard for such machines: a knife mounted to the frame slices the bottle into one long strip, which feeds through a heated extruder onto a spool which pulls the plastic strand through the system. This design stands out, though, in its documentation and ease of assembly. The detailed assembly guides, diagrams, and the lack of crimped or soldered connections all make it evident that this was designed to be built in a classroom. The filament produced is of respectable quality: 1.75 mm diameter, usually within a tolerance of 0.05 mm, as long as the extruder’s temperature and the spool’s speed were properly calibrated. However, printing with the filament does require an all-metal hotend capable of 270 ℃, and a dual-drive extruder is recommended.

One issue with the extruder is that each bottle only produces a short strand of filament, which isn’t sufficient for printing larger objects. Thus, [Igor] also created a filament welder and a spooling machine. The welder uses an induction coil to heat up a steel tube, inside of which the ends of the filament sections are pressed together to create a bond. The filament winder, for its part, can wind with adjustable speed and tension, and uses a moving guide to distribute the filament evenly across the spool, avoiding tangles.

If you’re interested in this kind of extruder, we’ve covered a number of similar designs in the past. The variety of filament welders, however, is a bit more limited.

Thanks to [RomanMal] for the tip!

hackaday.com/2025/08/01/turnin…

L’Ofcom sta indagando su quattro aziende, che gestiscono un totale di 34 siti pornografici, che al momento non rispettano i nuovi requisiti di controllo dell’età. L’autorità di regolamentazione ha dichiarato venerdì che più di 6.000 siti di contenuti pornografici (tra i quali PornHub, YouPorn) stanno utilizzando strumenti “altamente efficaci” per verificare o stimare se gli utenti hanno più o meno 18 anni.

Ma la Ofcom (l’ente regolatore del Regno Unito a supporto dei servizi di comunicazione) afferma che alcuni siti possono ancora ignorare le sue nuove regole, concepite per impedire ai bambini di imbattersi in contenuti pornografici o altri contenuti considerati dannosi dai legislatori. Pertanto sono state avviate delle indagini su alcune aziende che hanno complessivamente più di nove milioni di visitatori mensili.

“Queste aziende sono state classificate in base al rischio di danno rappresentato dai servizi che gestiscono e dal numero dei loro utenti”, ha affermato l’Ofcom in un comunicato stampa di giovedì. L’autorità di regolamentazione sta già indagando su una serie di piattaforme per sospetti simili. In precedenza aveva avviato indagini formali su un forum online sul suicidio , su servizi di condivisione di file e su una società che gestisce un cosiddetto sito di “nudificazione” .

“Prevediamo di fare ulteriori annunci in merito all’applicazione della legge nelle prossime settimane e nei prossimi mesi”, ha affermato l’ente regolatore.

Da quando venerdì sono entrati in vigore i requisiti di verifica dell’età, nel Regno Unito è stato chiesto alle persone di confermare la propria età su diverse piattaforme, tra cui i social media Reddit e X. Mercoledì Spotify ha confermato alla BBC che chiederà alle persone nel Regno Unito, tra cui l’Australia, di confermare la propria età se accedono a video musicali classificati come 18+ da chi li carica.

Il ministro della Tecnologia Peter Kyle ha dichiarato alla BBC Newsbeat che le nuove norme del Regno Unito applicano il “buon senso” alla regolamentazione di Internet. “Al giorno d’oggi siamo molto abituati a dimostrare la nostra età in molti ambiti diversi della vita, e ha senso che lo facciamo in modo più assertivo quando si tratta di attività online”, ha affermato.

Oltre 400.000 persone hanno firmato una petizione che chiede l’abrogazione dell’Online Safety Act, la legge che impone controlli dell’età per impedire ai bambini di accedere a contenuti per adulti. Il governo ha risposto affermando di non avere intenzione di ritirare la legge. Alcuni hanno anche criticato l’efficacia dell’implementazione da parte di Ofcom dei requisiti di controllo dell’età nel Regno Unito e il loro potenziale aggiramento tramite reti private virtuali.

Dopo l’entrata in vigore delle norme venerdì, le applicazioni che offrono servizi VPN gratuiti sono risultate essere le più scaricate nella categoria gratuita dell’App Store di Apple; tali app permettono agli utenti di celare la propria ubicazione online in modo da navigare in rete da una località differente.

L'articolo 6000 siti per adulti ora controllano l’età nel Regno Unito. La Ofcom indaga su siti privi di controllo proviene da il blog della sicurezza informatica.

These days, the personal MP3 player has been largely replaced by the the smartphone. However, [Justinas Petkauskas] still appreciates the iPod for its tactility and portability, and wanted to bring that vibe back. Enter JPL.mp3

The build is based around the ESP32-S3 microcontroller. It’s hooked up with a PCM5102 DAC hooked up over I2S to provide quality audio, along with a micro SD card interface for music storage, and a small IPS LCD. The best feature, though? The mechanical click-wheel which provides a very tactile way to scroll and interact with the user interface. Everything is assembled into a neat 3D printed case, with a custom four-layer PCB lacing all the electronics together.

On the software side, [Justinas] cooked up some custom software for organizing music on the device using a SQLite database. As he primarily listens to classical music, the software features fields for composer/piece and conductor, orchestra, or performer.

[Justinas] calls the final build “chunky, but nevertheless functional” and notes it is “vaguely reminiscent of classic iPods.” We can definitely see the fun in building your own personalized version of a much-enjoyed commercial product, for sure. Meanwhile, if you’re cooking up your own similar hardware, we’d certainly love to hear about it.

hackaday.com/2025/08/01/diy-mp…

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l’azienda ha rilasciato a Red Hot Cyber una dichiarazione ufficiale.

Il comunicato risponde alle recenti preoccupazioni sollevate dalla stampa sui bug di sicurezza rilevati nei suoi prodotti.

Dan Liu, CEO di Lovense, ha voluto rassicurare clienti e partner sull’impegno costante per la tutela della privacy e della sicurezza degli utenti attraverso un comunicato stampa che condividiamo con i nostri lettori.

Le vulnerabilità individuate

Un ricercatore di sicurezza, tramite una piattaforma di bug bounty cui Lovense partecipa dal 2018, ha identificato due specifiche vulnerabilità:

1. Esposizione di indirizzi email: un bug che poteva potenzialmente esporre gli indirizzi email associati agli account Lovense attraverso specifiche attività di rete.
2. Rischio di takeover degli account: una vulnerabilità che avrebbe potuto consentire l’accesso non autorizzato agli account tramite indirizzi email, senza necessità di password.

Importante sottolineare che queste vulnerabilità sono state scoperte in condizioni controllate e non tramite attività dannose. Di seguito viene riportato il comunicato di Lovesense nella versione integrale fornito a Red Hot Cyber.
Statement Regarding Recent Lovense Security Vulnerabilities

Statement from the CEO of Lovense

At Lovense, maintaining the trust of our customers and partners is our highest priority. We are aware of the recent report regarding security vulnerabilities disclosed by a security researcher. We want to provide clarity on the situation and outline the steps we have taken to address these concerns.

Summary of the Issue

The security researcher identified two vulnerabilities in our systems:

1. Email Address Exposure: A bug that could potentially expose email addresses associated with Lovense accounts through specific network activity.
2. Account Takeover Risk: A vulnerability that may allow unauthorized access to accounts using email addresses without requiring passwords. These vulnerabilities were discovered under controlled conditions by the researcher, who is part of a bug bounty platform we joined in 2018, and not through malicious activity.

We want to reassure our customers that:
• All identified vulnerabilities have been fully addressed.
• As of today, there is no evidence suggesting that any user data, including email addresses or account information, has been compromised or misused.

Actions Taken

• The email address exposure vulnerability has been fully resolved, and updates have been deployed to all users. Users must upgrade to the latest version to properly access all functions that may be affected by this
vulnerability. While those who do not upgrade will not face security risks, certain features will become unavailable.
• The account takeover vulnerability has been fixed following verification by our team.
• In our commitment to privacy and security, we submitted these fixes to the bug bounty platform for further independent testing to ensure the robustness of our solutions. This is standard practice to safeguard user
privacy and security.

Response to Timeframe for Fixes

To illustrate our approach, consider Lovense as a complex machine, where each component must function harmoniously for overall safety and reliability. When a faulty gear is identified, we conduct immediate repairs while evaluating the entire system to ensure all parts work together seamlessly.

Although vulnerabilities relate to email addresses, the conditions triggering those are distinct, which requires tailored solutions and thorough testing. We adopted a dual-track strategy of emergency response and long-term optimization.

The originally scheduled long term 14-month system reconstruction plan was completed significantly ahead of schedule due to the team's dedicated efforts and increased resource allocation. Reducing this comprehensive project to a simple "fixable in two days" is not only misleading but also overlooks the immense work put forth by our team.

Ensuring user safety has always been our core mission, a commitment reflected in our decision to join the HackerOne program in 2018. We are proud to be one of the earliest sex toy companies to have joined this initiative, demonstrating our dedication to user safety. We value the insights provided in the vulnerability disclosure report and appreciate the researcher’s proactive approach. However, we must clarify that any accusations of neglect regarding user safety are unfounded.

Commitment to Data Security

We regret any concern this report may have caused and remain steadfast in protecting user privacy and security. To prevent similar issues in the future, we are:

• Conducting a comprehensive review of our security practices to proactively identify and resolve potential vulnerabilities.
• Strengthening collaboration with external security researchers and platforms to enhance detection and response times.
• Proactively communicating with users about security updates to maintain transparency and trust. We will also be rolling out a statement to users about these vulnerabilities.

In response to the numerous erroneous reports online, our legal team is investigating the possibility of legal action. Thank you for your understanding and continued trust in Lovense.

Kind Regards,
Dan Liu
CEO of Lovense

Interventi e sicurezza degli utenti

Lovense ha già risolto entrambe le problematiche. In particolare:

• La vulnerabilità relativa all’esposizione degli indirizzi email è stata corretta con un aggiornamento distribuito a tutti gli utenti. Per continuare a utilizzare tutte le funzionalità, è necessario aggiornare il dispositivo all’ultima versione software. Chi non aggiorna non corre rischi di sicurezza, ma alcune funzioni potrebbero non essere disponibili.
• Il problema di takeover degli account è stato sistemato dopo verifica del team interno.

Le soluzioni implementate sono state sottoposte a ulteriori test indipendenti tramite la piattaforma bug bounty, a garanzia della robustezza delle correzioni.

Tempistiche e processo di risoluzione

Il CEO Liu spiega che Lovense ha adottato un approccio dual-track: interventi urgenti per mitigare subito i rischi e una revisione di lungo termine per ottimizzare il sistema. Il piano di ricostruzione del sistema, previsto originariamente in 14 mesi, è stato completato in anticipo grazie a risorse dedicate.

Lovense evidenzia che semplificare il lavoro a una “riparazione in due giorni” è fuorviante e non riflette il lavoro complesso svolto dal team.

Impegno costante e futuro

Lovense si dichiara orgogliosa di essere tra le prime aziende di sex tech ad aver aderito al programma HackerOne, dimostrando un impegno storico verso la sicurezza degli utenti. L’azienda è impegnata a:

• Rivedere in modo completo le pratiche di sicurezza per prevenire future vulnerabilità.
• Rafforzare la collaborazione con ricercatori esterni e piattaforme di bug bounty.
• Comunicare in modo trasparente con gli utenti riguardo agli aggiornamenti di sicurezza.

Lovense ha inoltre annunciato che intende intraprendere azioni legali contro le numerose segnalazioni errate e fuorvianti apparse online.

Conclusioni

Il CEO Dan Liu conclude chiedendo comprensione e fiducia da parte degli utenti, riaffermando che la sicurezza e la privacy restano la priorità assoluta di Lovense. Concludiamo evidenziando che anche i migliori programmi di sicurezza informatica possono presentare vulnerabilità; tuttavia, l’implementazione di un programma di bug bounty testimonia l’impegno dell’azienda verso la community hacker e una costante dedizione alla sicurezza dei propri prodotti e clienti.

L'articolo Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza proviene da il blog della sicurezza informatica.