For how crucial whales have been for humanity, from their harvest for meat and oil to their future use of saving the world from a space probe, humans knew very little about them until surprisingly recently. Most people, even in Herman Melville’s time, considered whales to be fish, and it wasn’t until humans went looking for submarines in the mid-1900s that we started to understand the complexities of their songs. And you don’t have to be a submarine pilot to listen now, either; all you need is something like these homemade hydraphones.

This project was done as part of a workshop in Indonesia, and it only takes a few hours to build. It’s based on a piezo microphone enclosed in a small case. A standard 3.5 mm audio cable runs into the enclosure and powers a preamp using a transistor and two resistors. With the piezo microphone and amplifier installed in this case, the case itself is waterproofed with a spray and allowed to dry. When doing this build in places where Plasti-Dip is available, it was found to be a more reliable and faster waterproofing method. Either way, with the waterproofing layer finished, it’s ready to toss into a body of water to listen for various sounds.

Some further instructions beyond construction demonstrate how to use these to capture stereo sounds, using two microphones connected to a stereo jack. The creators also took a setup connected to a Raspberry Pi offshore to a floating dock and installed a set permanently, streaming live audio wirelessly back to the mainland for easy listening, review, and analysis. There are other ways of interacting with the ocean using sound as well, like this project, which looks to open-source a sonar system.

Thanks to [deathbots] for the tip!

hackaday.com/2025/12/22/the-mu…

A long time ago, there was a big difference between PC and console gaming. The former often came with headaches. You’d fight with drivers, struggle with crashes, and grow ever more frustrated dealing with CD piracy checks and endless patches and updates. Meanwhile, consoles offered the exact opposite experience—just slam in a cartridge, and go!

That beautiful feature fell away when consoles joined the Internet. Suddenly there were servers to sign in to and updates to download and a whole bunch of hoops to jump through before you even got to play a game. Now, those early generations of Internet-connected consoles are becoming retro, and that’s introduced a whole new set of problems now the infrastructure is dying or dead. Boot up and play? You must be joking!

Turn 360 Degrees And Log Out

The Xbox 360 was a console that had online gaming built in to its very fabric from the outset. Credit: author
Microsoft first launched the Xbox 360 in 2005. It was the American company’s second major console, following on from the success of the Xbox that fought so valiantly against the Sony PlayStation 2 and the Nintendo GameCube. Where those sixth generation consoles had been the first to really lean in to online gaming, it was the seventh generation that would make it a core part of the console experience.

The Xbox 360 liked to sign you straight into Xbox Live the moment you switched on the console. All your friends would get hear a little bling as they were notified that you’d come online, and you’d get the same in turn. You could then boot into the game of your choice, where you’d likely sign into a specific third-party server to check for updates and handle any online matchmaking.

The Xbox 360 didn’t need to be always online, it just really wanted you to be. This was simply how gaming was to be now. Networked and now highly visible, in a semi-public way. Where Microsoft blazed a trail in the online user experience for the console market, Sony soon followed with its own feature-equivalent offering, albeit one that was never quite as elegant as that which it aimed to duplicate.
Boot up an Xbox 360 today, and you might find it rather difficult to log into your Xbox Live account—even if you do remember your password! Credit: author
Fire up an Xbox 360 today, and you’ll see that console acting like it’s still 2008 or something. It will pleasantly reach out to Microsoft servers, and it will even get a reply—and it will then prompt you to log in with your Xbox Live or Microsoft account. You’ve probably got one—many of us do—but here lies a weird problem. When you try to log in to an Xbox 360 with your current Microsoft account, you will almost certainly fail! You might get an error like 8015D086 or 8015D000, or have it fail more quietly with a simple timeout.

It all comes down to authentication. See, the Internet was a much happier, friendly place when the Xbox 360 first hit the shelves. Back then, a simple password of 8 characters or more with maybe a numeral or two was considered pretty darn good for login purposes. Not like today, where you need to up the complexity significantly and throw in two-factor authentication to boot. And therein lies the problem, because the Xbox 360 was never expecting two-factor authentication to be a thing.

Today, your Microsoft account won’t be authorized for login without it, and thus your Xbox 360 won’t be able to log in to Xbox Live. In fairness, you wouldn’t miss much. All the online stores and marketplaces and games servers were killed ages ago, after all. However, the 360 really doesn’t like not being online. It will ask you all the time if you want to sign in! Plus, if you wanted to get your machine the very last dashboard updates or anything like that… you need to be able to sign into Xbox Live.

Thankfully, there is a workaround. Community members have found various solutions, most easily found in posts shared on Reddit. Sometimes you can get by simply by disabling two-factor authentication and changing to a low-complexity password due to the 360’s character limit in the entry field. If that doesn’t work, though, you have to go to the effort to set up a special “App Password” in your Microsoft account that will let the Xbox 360 authenticate in a simpler, more direct fashion.
Plenty of modern video games are built with online features that rely on the publisher-hosted servers. When those shut down, parts of the game die. Credit: author
Pull all this off, and you’ll hear that famous chime as your home console reaches the promised land of Xbox Live. None of your friends will be online, and nobody’s really checking your Gamerscore anymore, but now you can finally play some games!

Only, for a great many titles on the Xbox 360, there were dedicated online servers, too. Pop in FIFA 16, and the game will stall for a moment before it reports that it’s failed to connect to EA’s servers. Back in the day, those servers provided a continual stream of minor updates to the game, player rosters, and stats, making it feel like almost a living thing. Today, there’s nothing out there but a request that always times out.

This would be no issue if it happened just once, but alas… you’ll have to tangle with the game doing this time and again, every time you boot it up. It wants that server, it’s so sure it’s out there… but it never phones back from the aether.

Many games still retain most of their playability without an Internet connection, and most consoles will still boot up without one. Nevertheless, the more these machines are built to rely on an ever-present link to the cloud, the less of them will be accessible many years into the future.

Not Unique

It’s much harder to join the fun than it used to be. Credit: author
This problem is not unique to the Xbox 360. It’s common to run into similar problems with the PlayStation 3, with Sony providing a workaround to get the old consoles online. For both consoles, you’re still relying on the servers remaining online. It’s fair to assume the little remaining support for these machines will be switched off too, in time. Meanwhile, if you’re playing Pokemon Diamond on the Nintendo DS, you’ve probably noticed the servers are completely gone. In that case, you’re left to rely on community efforts to emulate the original Nintendo WFC servers, which run with varying levels of success. For less popular games, though there’s simply nothing left—whatever online service there was is gone, and it’s not coming back.

These problems will come for each following console generation in turn. Any game and any console that relies on manufacturer-run infrastructure will eventually shut down when it becomes no longer profitable or worthwhile to run. It’s a great pity, to be sure. The best we can do is to pressure manufacturers to make sure that their hardware and games retain as much capability as possible when a connection isn’t available. That will at least leave us with something to play when the servers do finally go dark.

hackaday.com/2025/12/22/intern…

L’Autorità Garante della Concorrenza e del Mercato italiana (AGCM) ha imposto una sanzione significativa ad Apple. La sanzione ammonta a 98,6 milioni di euro, ovvero circa 115 milioni di dollari. ed è relativa a al presunto abuso di posizione dominante nel mercato delle app mobili.

Secondo l’autorità di regolamentazione italiana, l’azienda ha limitato gli sviluppatori di app di terze parti, violando le norme europee sulla concorrenza. Il caso riguarda l’informativa sulla privacy dell’App Tracking Transparency (ATT) introdotta nel 2021, in base alla quale Apple richiede agli sviluppatori un consenso separato agli utenti per raccogliere dati e utilizzarli a fini pubblicitari.

La notifica corrispondente non viene generata dagli sviluppatori stessi, ma da Apple stessa, e solo secondo uno scenario stabilito dall’azienda.

L’agenzia ritiene che questo approccio crei condizioni di disparità per gli operatori di mercato e violi i principi di proporzionalità. Afferma che la politica di raccolta dati è imposta unilateralmente, ostacola il pieno funzionamento dei partner commerciali ed è incompatibile con le normative sulla protezione dei dati personali.

Particolare attenzione è stata prestata al fatto che gli sviluppatori terzi erano costretti a duplicare le richieste di consenso, costringendo di fatto gli utenti a ripetere la stessa procedura più volte.

Ciò, secondo l’autorità di regolamentazione, ha comportato ulteriori complicazioni e ha messo le aziende che utilizzano l’App Store in una posizione vulnerabile.

L’indagine è iniziata nella primavera del 2023.

Le autorità italiane hanno sottolineato che l’indagine è stata condotta in stretta consultazione con la Commissione Europea e le autorità antitrust di altri Paesi. Apple non ha ancora rilasciato dichiarazioni ufficiali in merito alla decisione.

L'articolo Apple: multa di 115 milioni di dollari dal Garante della Concorrenza e del Mercato italiano proviene da Red Hot Cyber.

Secondo BI.ZONE, entro il 2026, gli aggressori opteranno sempre più per la distruzione totale dell’infrastruttura aziendale anziché per la crittografia.

Questo si riferisce a scenari in cui, dopo essere penetrati in una rete, gli aggressori utilizzano wiper, strumenti distruttivi che cancellano i dati e possono disabilitare le apparecchiature di rete. Questo approccio aumenta i danni e complica il ripristino: le aziende devono affrontare non solo tempi di inattività, ma anche la perdita di componenti critici.

Nel 2025, le aziende del settore retail sono state le più frequenti richiedenti di indagini su incidenti informatici gravi, rappresentando il 31% di tutte le richieste. BI.ZONE rileva inoltre che il settore retail è diventato il principale responsabile delle violazioni dei dati, rappresentando quasi il 40% dei casi.

Le cause principali includono problemi comuni: infrastrutture IT obsolete e scarsa segmentazione della rete, che consentono agli attacchi di diffondersi più rapidamente lungo il perimetro e di colpire più sistemi.

Il settore IT si è classificato al secondo posto in termini di numero di indagini, con una quota del 26%. Anche le piccole aziende IT sono attraenti per gli aggressori, poiché spesso lavorano come appaltatori per grandi clienti. Di conseguenza, la compromissione di un’azienda appaltatrice viene utilizzata come gateway per infrastrutture più sicure. BI.ZONE stima che nel 2025 il 30% degli incidenti altamente critici fosse collegato ad attacchi tramite terze parti. Un anno prima, questa percentuale era la metà, al 15%.

Il terzo posto in termini di numero di indagini è condiviso da aziende di trasporto, telecomunicazioni e organizzazioni governative, ciascuna responsabile dell’11% dei casi. BI.ZONE descrive la tendenza generale come una crescente sofisticatezza e distruttività degli attacchi, mentre le motivazioni di base rimangono le stesse: il guadagno finanziario rimane dominante e il phishing rimane il metodo più comune di penetrazione iniziale. Tuttavia, l’enfasi si sposta di anno in anno: nel 2022, defacement e campagne di hacktivisti sono stati prominenti, nel 2023, fughe di notizie e dump di dati di massa, nel 2024, la crittografia attiva delle infrastrutture e nel 2025 l’uso di wiper è stato registrato con frequenza significativamente maggiore.

BI.ZONE rileva anche un aumento del tempo necessario agli aggressori per rimanere inosservati nell’infrastruttura. Nel 2024, la media era di 25 giorni, per poi salire a 42 giorni nel 2025. Tuttavia, la differenza rimane significativa: il tempo minimo di sviluppo dell’attacco dalla penetrazione alla crittografia nel 2025 era di 12,5 minuti, mentre il massimo era di 181 giorni.

Il ripristino da tali incidenti richiede ancora molto tempo.

Nel 2025, le aziende colpite hanno impiegato in media tre giorni per ripristinare i sistemi critici necessari alla ripresa delle operazioni aziendali. Il ripristino completo dei processi aziendali ha richiesto in media 14 giorni.

L'articolo Preparatevi alla distruzione dei dati! Se non paghi, la pubblicazione non basta. Entrano in scena i wiper proviene da Red Hot Cyber.

youtube.com/@masspiratesSteve and James discuss a new bipartisan effort to sunset CDA Section 230, a Trump DOJ memorandum the claims recording ICE agents is violence and wish you all a happy holidays on our last pirate news for 2025.

youtube.com/embed/66viFR-abPQ?…

Sign up to our newsletter to get notified of new events or volunteer. Join us on:

• Mastodon;
• Facebook;
• Blue Sky;
• Twitter.

Check out:

• Surveillance Memory Bank and Resources;
• Our Administrative Coup Memory Bank;
• Our Things to Do when Fascists are Taking Over.

Some links we mentioned:

• Senators Want To Hold The Open Internet Hostage, Demand Zuckerberg Write The Ransom Note;
• The Government Unconstitutionally Labels ICE Observers as Domestic Terrorists.

Image Credit: Cory Doctorow, CC By-SA 4.0, Source Image.

masspirates.org/blog/2025/12/2…

IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and I hope you, like me, are getting ready for Festivus on Dec 23. (Remember: it's for the rest of us.) My household already has its Festivus pole up, and is preparing for both feats of strength and the annual airing of grievances.

In all seriousness, thank you for all the support this year. I hope you and yours can find time to rest and recover over the final weeks of the year.

One programming note: the first Digital Politics newsletter of 2026 will be on Jan 5, so no edition next week. Happy Holidays.

Let's get started:

digitalpolitics.co/newsletter0…

We’re most familiar with sound as vibrations that travel through the atmosphere around us. However, sound can also travel through objects, too! If you want to pick it up, you’d do well to start with a contact mic. Thankfully, [The Sound of Machines] has a great primer on how to build one yourself. Check out the video below.

The key to the contact mic is the piezo disc. It’s an element that leverages the piezoelectric effect, converting physical vibration directly into an electrical signal. You can get them in various sizes; smaller ones fit into tight spaces, while larger ones perform better across a wider frequency range.

[The Sound of Machines] explains how to take these simple piezo discs and solder them up with connectors and shielded wire to make them into practical microphones you can use in the field. The video goes down to the bare basics, so even if you’re totally new to electronics, you should be able to follow along. It also covers how to switch up the design to use two piezo discs to deliver a balanced signal over an XLR connector, which can significantly reduce noise.

There’s even a quick exploration of creative techniques, such as building contact mics with things like bendable arms or suction cups to make them easier to mount wherever you need them. A follow-up explores the benefits of active amplification. The demos in the video are great, too. We hear the sound of contact mics immersed in boiling water, pressed up against cracking spaghetti, and even dunked in a pool. It’s all top stuff.

These contact mics are great for all kinds of stuff, from recording foley sounds to building reverb machines out of trash cans and lamps.

youtube.com/embed/JrN4HSJadNM?…

youtube.com/embed/Di3zThxTnnw?…

hackaday.com/2025/12/22/how-to…

Il caso del provv. n. 591 del 9 ottobre 2025 dell’Autorità Garante per la protezione dei dati personali è emblematico nel rappresentare quanto un’eccessiva leggerezza nel comunicare o, come in questo caso, diffondere dati personali possa comportare una violazione del GDPR.

Tutta colpa di una recensione, verrebbe da dire. O meglio: della risposta data ad una recensione negativa, in cui è stata riportata, come intestazione, nome e cognome nonché l’indirizzo di residenza dell’autore della sopradetta recensione. Autore che si è piuttosto risentito e ha presentato per questo motivo un reclamo al Garante Privacy il quale ha avviato un procedimento sulla possibile illiceità del trattamento dal momento che è stato diffuso un indirizzo di residenza senza una base giuridica valida e per finalità assolutamente divergenti rispetto a quelle per cui era stato legittimamente raccolto.

La difesa della società quale soggetto titolare del trattamento ha però voluto insistere sul fatto che:

“il reclamato utilizzo del solo indirizzo […] risulta certamente strumentale e necessario da parte di questo titolare del Camping Don Diego a dare doveroso riscontro alla “recensione negativa” sul portale di Google”.

cancellando in seguito all’audizione i dati di residenza in adesione alla richiesta formulata nel reclamo.

La decisione del Garante Privacy.

Non dovrebbe sorprendere più di tanto che il Garante non abbia accolto tale tesi difensiva, confermando così la violazione del principio di liceità e di limitazione della finalità,

in quanto il titolare del trattamento ha diffuso in rete illecitamente l’indirizzo di residenza della reclamante in assenza di idonea base giuridica e per finalità diverse da quelle che ne avevano determinato la relativa raccolta.

I dati personali del reclamante, tra cui rientra anche l’indirizzo di residenza, sono stati infatti raccolti per dare esecuzione a misure precontrattuali e contrattuali per il periodo di soggiorno. Inoltre, come è intuitivo, un riscontro ad una recensione non richiede certo l’intestazione del destinatario se viene fornito come reply.

Facendo riferimento proprio al contesto del trattamento, il Garante ricorda come criterio orientativo, quello fornito dal considerando n. 39 del GDPR che può essere convertito in una domanda che è sempre bene porsi: è davvero necessario trattare quei dati personali per ciò che voglio fare?

Potremmo dire: first think, then process the personal data.

In questo pensare, sarà bene individuare ciò che si vuole fare con i dati e cogliere l’occasione per applicare il principio di minimizzazione in modo hardcore andando a ricercare alternative in cui si conseguono le stesse finalità senza scomodare alcun dato personale. Dopodiché si ricercano soluzioni alternative sempre riducendo al minimo la quantità di dati da impiegare.

Altrimenti, quel che accade è semplicemente l’accettazione del rischio che la modalità di trattamento sia illecita. Come in questo caso che è valso un ammonimento del titolare e la pubblicazione del provvedimento.

Non basta il buon senso.

Attenzione, però, a ritenere che sia sufficiente il buon senso. Perché può rivelarsi un alleato inaffidabile soprattutto quando non si hanno chiare le regole del gioco.

Infatti, la maggior parte di quelle che vengono catalogate come leggerezze si fondano proprio su una mancata consapevolezza di ciò che si può fare e ciò che non si può fare con un dato personale, qualunque esso sia e in qualunque modo sia stato raccolto.

Fun fact: per il titolare sarebbe stato sufficiente rileggere la propria informativa per comprendere i limiti d’impiego di quei dati personali. Dopotutto, nella stessa venivano riportate le attività che ci si proponeva di svolgere e nessuna di queste prevedeva la diffusione dei dati.

L'articolo Una recensione negativa, un indirizzo di casa e il GDPR che piange proviene da Red Hot Cyber.

“Salve.”

Non “Gentile”, non “Spettabile”, non nome e cognome.
Solo “Salve.”

A leggerla così, fa quasi tenerezza.

Sembra l’inizio di una mail scritta di corsa, magari riciclata da un modello vecchio, senza nemmeno lo sforzo di una personalizzazione. C’è il logo giusto, c’è un titolo burocratico abbastanza vago, c’è quel tono da comunicazione di sistema che abbiamo imparato a riconoscere – e a ignorare.

E infatti il primo istinto, per chi è un minimo smaliziato, è questo: “Ma dai.”

Ed è proprio qui che conviene fermarsi.

Perché se viene da ridere, se si giudica per quanto è scritta male, si sta facendo esattamente quello che questa email si aspetta.

Una mail di phishing non deve essere elegante né credibile al cento per cento.
Spesso deve essere solo sufficientemente compatibile con ciò che ci si aspetta di ricevere in quel momento.

Da qui in poi, non ha più senso parlare di stile.
Ha senso parlare di funzione.

Una truffa vecchia che sfrutta un contesto nuovo

Questa non è una truffa nuova. È uno schema già visto, che continua a funzionare perché viene riattivato nel momento giusto.

Negli ultimi mesi, complice il tema degli aumenti e degli arretrati NoiPA, è tornata a circolare questa campagna di phishing che ripropone modelli noti, con variazioni minime nel lessico e nei riferimenti temporali. Non introduce tecniche innovative né soluzioni sofisticate: sfrutta un’aspettativa reale, quella di ricevere una comunicazione ufficiale legata a eventi economici concreti e ampiamente discussi.

Il punto di forza dell’attacco è tutto qui.
L’aggancio a elementi reali e verificabili – aumenti, arretrati, emissioni straordinarie – elimina la necessità di costruire una narrazione articolata. Il destinatario non deve chiedersi se quella comunicazione possa esistere, ma solo se sia arrivata nel modo corretto.

Per questo l’interesse del caso non sta nella truffa in sé, che è nota e ciclica, ma nella sua sincronizzazione con il contesto. È una dinamica ricorrente: ogni volta che un evento reale rende plausibile l’azione richiesta, lo schema torna a funzionare.

Ed è su questa dinamica, più che sulla singola campagna, che vale la pena soffermarsi.

Il metodo: analisi di un testo di phishing

Un’email di phishing va letta come una sequenza di obiettivi operativi, non come un messaggio informativo.

Gli obiettivi sono sempre gli stessi:

• farsi aprire
• non generare sospetto immediato
• spingere l’utente verso un’azione esterna

Se questa sequenza è coerente, il phishing molto spesso funziona anche quando il testo è mediocre.

Con questo schema in mente, il messaggio diventa leggibile per quello che è.

Dissezione tecnica del messaggio: cosa fa ogni elemento e perché funziona

Un’email di phishing non racconta una storia.
Implementa una sequenza di azioni progettate per guidare il comportamento dell’utente con il minimo attrito possibile.

Apertura e saluto: scalabilità prima di tutto

Il messaggio si apre con un semplice “Salve”.
Nessun nome, nessun cognome, nessuna personalizzazione.

Non è una svista. È una scelta funzionale alla scalabilità dell’attacco. Inserire dati anagrafici richiede liste affidabili, aggiornate e coerenti. Ometterli consente l’invio massivo senza ridurre in modo significativo il tasso di apertura. L’obiettivo non è colpire tutti, ma colpire abbastanza.

Allo stesso tempo, l’assenza di riferimenti personali colloca l’email nel perimetro delle comunicazioni automatiche: non sembra una mail individuale, ma una mail “di sistema”. Questo normalizza l’anomalia.

Oggetto e apertura: abbassare la soglia di attenzione

Oggetto e prime righe utilizzano formule vaghe e amministrative, come “integrazione dati personali”.
Non forniscono informazioni concrete, non promettono nulla, ma sono compatibili con messaggi di servizio reali.

La loro funzione è semplice: farsi aprire senza attivare allarmi immediati.

Registro linguistico: personalizzazione apparente a costo zero

Nel corpo del messaggio compare l’uso ripetuto del pronome “tua”:
“la tua area riservata”, “la tua posizione”.

Non è informazione. È simulazione di personalizzazione.
Questo registro non appartiene alle comunicazioni ufficiali di NoiPA, normalmente impersonali e normative. Serve a creare l’illusione di un riferimento diretto senza introdurre elementi verificabili che potrebbero essere controllati o smentiti.

È una scorciatoia tipica del phishing bancario e previdenziale.

Link e azione richiesta: spostare il contesto

Il cuore dell’attacco è l’invito ad accedere all’area riservata tramite un link presente nell’email.

Questo passaggio risolve il problema centrale dell’attaccante: portare l’utente fuori dal canale email. Finché l’utente resta nel client di posta ha tempo, contesto e strumenti per verificare. Il link serve a trasferirlo rapidamente su un dominio controllato dall’attaccante, dove interfaccia, linguaggio e richieste sono completamente manipolabili.

Dal punto di vista procedurale, questo è il punto di rottura oggettivo: NoiPA non richiede accessi ai propri servizi tramite link email né aggiornamenti di dati personali con questa modalità.

Call to action: riutilizzabilità e attrito minimo

Il pulsante “Modifica i tuoi dati” è volutamente generico.
Non contiene riferimenti amministrativi, numeri di pratica o identificativi utente.

La sua genericità lo rende riutilizzabile su più campagne, più brand, più contesti. Specificare quali dati o quale procedura introdurrebbe attrito e aumenterebbe le possibilità di incoerenza. L’obiettivo non è spiegare, ma ottenere un click.

Urgenza: comprimere il tempo di verifica

L’urgenza viene introdotta solo nella parte finale del messaggio.
Il link ha una validità limitata e il mancato intervento potrebbe compromettere l’aggiornamento della busta paga con gli aumenti previsti.

Non serve a spaventare subito, ma a ridurre il tempo di verifica quando il messaggio è già apparso coerente. Inserirla all’inizio attiverebbe sospetti; inserirla alla fine forza una decisione rapida quando l’utente è già coinvolto.

Contesto reale: plausibilità senza spiegazioni

Il riferimento agli aumenti e agli arretrati risolve il problema della plausibilità contestuale.
Usare un evento reale elimina la necessità di costruire una narrativa artificiale. Il motivo della comunicazione è già noto.

Questo abbassa drasticamente la soglia critica.

Firma: autorità senza verificabilità

La firma “Il Team NoiPA” chiude il messaggio senza fornire alcun elemento verificabile.
Nessun nome, nessun ufficio, nessun riferimento normativo o contatto ufficiale.

È un’autorità astratta, sufficiente nel breve intervallo che precede il click. Inserire dettagli renderebbe possibile una verifica immediata, cosa che l’attaccante deve evitare.

Conclusione

Questa campagna non si regge su tecniche avanzate né su un’elaborazione particolarmente sofisticata del messaggio. Si regge su qualcosa di molto più semplice: l’allineamento temporale. Uno schema noto viene riattivato quando l’argomento è reale, atteso e già presente nel flusso informativo quotidiano.

In questo scenario, la qualità del testo diventa quasi irrilevante. La familiarità del tema abbassa le difese, riduce il tempo di verifica e sposta l’attenzione dal come al perché. È sufficiente che il messaggio sembri plausibile nel momento giusto.

Ed è proprio per questo che un’email che all’inizio “fa sorridere” continua ancora oggi a colpire.

L'articolo Phishing NoiPA: analisi tecnica di una truffa che sfrutta aumenti e arretrati proviene da Red Hot Cyber.

Un’enorme interruzione di corrente a San Francisco ha causato interruzioni alla circolazione dei veicoli a guida autonoma. I veicoli a guida autonoma Waymo sono stati avvistati sulle strade cittadine, fermi agli incroci con le luci di emergenza accese. Le interruzioni sono state causate da un’improvvisa interruzione di corrente ai semafori, causata da un incendio in una sottostazione PG&E.

A causa dell’incidente, Waymo ha sospeso il suo servizio di taxi autonomi nella Bay Area. I rappresentanti di Waymo hanno dichiarato di essere in stretto coordinamento con le autorità cittadine e di prevedere di riprendere il servizio il prima possibile. Tuttavia, non hanno specificato i motivi per cui i veicoli non hanno potuto riprendere il servizio.

Un incendio in una sottostazione ha causato interruzioni di corrente per circa 130.000 residenti. Entro domenica mattina, l’alimentazione era stata rispristinata, mentre i lavori proseguivano a Richmond, Golden Gate e in alcune zone del centro di San Francisco.

L’incidente ha evidenziato potenziali vulnerabilità nel sistema di guida autonoma di Waymo. Il sito web di Waymo afferma che i suoi veicoli si affidano alla segnaletica stradale e ai semafori per orientarsi. Il guasto dei semafori ha probabilmente impedito ai veicoli di determinare quando fosse sicuro procedere.

Gli esperti non escludono un problema più ampio: la dipendenza da infrastrutture remote. Se per qualsiasi motivo i data center che calcolano i percorsi ed elaborano i dati dei sensori dovessero guastarsi, le auto a guida autonoma rischiano di perdere completamente l’orientamento e di fermarsi, indipendentemente dalle condizioni stradali.

Le tecnologie di guida autonoma stanno progredendo rapidamente, ma qualsiasi interruzione delle infrastrutture urbane o cloud potrebbe metterne a nudo la fragilità e ricordarci che i sistemi di guida autonoma continuano a far parte di un ecosistema vulnerabile.

L'articolo Semafori spenti, auto autonome bloccate: il blackout mette in crisi Waymo proviene da Red Hot Cyber.

MS13-089 apre un leak site sul dark web, espone i primi dati e adotta una strategia di doppia estorsione senza cifratura.

Un brand costruito su un vecchio ID Microsoft

Per anni “MS13-089” ha identificato un bollettino di sicurezza Microsoft del 2013 relativo a una vulnerabilità critica nel componente grafico GDI di Windows, sfruttabile per esecuzione di codice remoto. Oggi la stessa sigla viene riciclata come nome di un nuovo gruppo ransomware MS13-089.​

Questa scelta non è solo un vezzo: riutilizzare un identificatore storico del mondo Microsoft introduce rumore nelle ricerche OSINT e sposta l’attenzione dall’immaginario “gang di strada” a quello “vulnerabilità software”. In pratica il gruppo si colloca subito nel perimetro cyber, sfruttando una sigla che gli analisti associano da anni a un problema di sicurezza ben documentato.

Il leak site: un messaggio chiaro

Lo screenshot, rilanciato da diversi siti e canali social del clearnet del leak site, mostra un’impostazione essenziale: in alto il nome MS13-089, al centro la sezione “LEAKED DATA” e subito sotto due card affiancate dedicate alle prime vittime. Ogni riquadro riporta logo, dominio, breve descrizione ufficiale estratta dal sito della vittima e una barra con la dicitura “PUBLISHED 1%”, insieme al pulsante “MORE”.

Questa struttura ricalca il modello ormai standard dei leak site di doppia estorsione: brand della gang in evidenza, elenco delle organizzazioni colpite con una scheda sintetica e un chiaro invito – il tasto “MORE” – a esplorare i campioni di dati pubblicati come prova dell’intrusione.​

La barra “PUBLISHED 1%” che compare sotto ciascuna vittima non è una trovata grafica, ma un indicatore del livello di esposizione pubblica dei dati. Nel gergo dei leak site ransomware, questa etichetta segnala che solo circa l’1% dei dati sottratti è stato reso pubblico, mentre il restante 99% è ancora trattenuto dal gruppo come leva nella negoziazione con la vittima.​

Doppia estorsione senza cifratura: la narrativa “non danneggiamo i pazienti”

Uno degli aspetti più peculiari di MS13-089 è la scelta dichiarata di non cifrare i sistemi delle vittime, concentrandosi esclusivamente su furto e minaccia di leak dei dati. In comunicazioni riportate da siti di monitoraggio delle violazioni, il gruppo sostiene di non aver cifrato gli asset di Virginia Urology “per non danneggiare i pazienti”, rivendicando una strategia basata unicamente sulla doppia estorsione.​

Questa narrativa – già vista in altri contesti in cui gli attori cercano di presentarsi come “professionisti” più che come vandali – non cambia però la sostanza: l’esfiltrazione di cartelle cliniche, dati assicurativi e documentazione fiscale rimane un danno grave, con potenziali ricadute per milioni di persone e importanti conseguenze regolatorie (HIPAA nel contesto USA, GDPR in Europa). La leva non è più la paralisi operativa tramite cifratura, ma la minaccia di una esposizione pubblica irreversibile.​

Impatti

Il debutto di MS13-089 conferma tendenze chiave del panorama ransomware:

• La doppia estorsione evolve oltre la cifratura: gruppi come MS13-089 mostrano che, in molti scenari, la sola minaccia di leak può bastare a innescare crisi reputazionali, legali e regolatorie di ampia portata, anche senza bloccare direttamente i sistemi.​
• I leak site diventano asset di comunicazione centrale: elementi come la barra “PUBLISHED 1%” sono pensati non solo per informare gli analisti, ma per costruire una narrativa pubblica e temporizzata della pressione sul bersaglio.​

Per i defender questo significa integrare nei playbook di risposta non solo scenari di cifratura massiva, ma anche casi in cui l’intero impatto è giocato sulla fuga di dati: monitoraggio costante dei leak site, capacità di reagire rapidamente alle pubblicazioni parziali e piani di comunicazione e notifica pensati per gestire la progressione da “1% pubblicato” alla minaccia di esposizione totale.

L'articolo MS13-089: il nuovo gruppo ransomware che ruba il nome a un vecchio bollettino Microsoft proviene da Red Hot Cyber.

Una buona notizia per chiudere l'anno. Festeggiate, riposate, che nel 2026 avremo bisogno di rabbia nuova.

spreaker.com/episode/dk-10x16-…