OSINT e Anti-Terrorismo: Il Monitoraggio dei Canali Pubblici per isolare Minacce e Proselitismo
L’Open Source Intelligence (OSINT) ha assunto un ruolo centrale nelle strategie di intelligence antiterrorismo moderne, trasformandosi da semplice strumento di supporto a pilastro fondamentale per la sicurezza nazionale e globale.
Il teatro operativo è cambiato radicalmente: non si limita più a cave remote o cellule isolate, ma si è spostato nel vasto e caotico ecosistema del web, dove l’ideologia estremista si diffonde, si radicalizza e recluta indisturbata, sfruttando la democratizzazione delle piattaforme di comunicazione.
Trasformare il rumore di fondo in segnali
L’efficacia dell’OSINT in questo ambito risiede nella sua capacità unica di trasformare il rumore di fondo dei canali pubblici – social media, forum di discussione, dark web e servizi di messaggistica criptata accessibili in parte – in segnali d’allarme precoci e attuabili.
La sfida maggiore per le agenzie di sicurezza è districare il proselitismo dalla semplice espressione di opinioni radicali, e identificare i punti di flesso che indicano il passaggio dall’ideazione teorica alla pianificazione operativa.
È qui che l’OSINT, potenziata dall’analisi comportamentale e dai tool di analisi semantica basati sull’intelligenza artificiale, eccelle. Non si tratta semplicemente di intercettare una minaccia esplicita, ma di tracciare la kill chain cognitiva: il monitoraggio inizia con l’analisi dei contenuti propagandistici (OSINF), passa all’identificazione dei canali di reclutamento, e culmina nel profiling degli individui che mostrano un’escalation di interesse, una crescente adesione a linguaggi codificati o la ricerca di informazioni operative specifiche (es. know-how su esplosivi, tecniche di occultamento).
I limiti legali del monitoraggio dei canali pubblici
Il monitoraggio dei canali pubblici, tuttavia, si scontra con limiti legali ed etici ancora più stringenti rispetto ad altre forme di OSINT. La ricerca di informazioni su larga scala, volta a identificare potenziali terroristi o simpatizzanti, implica inevitabilmente il trattamento massivo di dati personali, spesso sensibili, di individui che non sono (ancora) sospettati formalmente. In contesti europei regolati dal GDPR, le agenzie devono dimostrare che il trattamento è strettamente necessario e proporzionato al perseguimento di un obiettivo di sicurezza pubblica e anti-terrorismo, invocando spesso la deroga di “interesse pubblico essenziale” o la direttiva sul trattamento dei dati personali a fini di prevenzione, indagine, accertamento e perseguimento di reati. È un terreno insidioso dove l’eccesso di zelo può facilmente sfociare in sorveglianza indiscriminata.
L’uso di tecniche di clustering e analisi delle reti sociali (Social Network Analysis – SNA) è fondamentale per mappare le relazioni tra username, identificare leader carismatici e scoprire come si formano le cellule virtuali. L’analista OSINT cerca qui le anomalie nel comportamento comunicativo: cambiamenti repentini nei pattern di messaggistica, migrazione da piattaforme pubbliche a servizi criptati dopo un evento specifico, o l’utilizzo di cryptocurrency per il finanziamento. Questi indizi, se aggregati correttamente, possono fornire un quadro predittivo dell’attività operativa.
La tentazione di sbirciare oltre il dovuto
Tuttavia, anche in questo campo delicatissimo, la tentazione di “sbirciare oltre il cancello” è forte. L’uso di tecniche come l’infiltrazione passiva (sock puppets non coinvolti in social engineering attivo) o l’utilizzo di vulnerabilità di configurazione per accedere a gruppi di messaggistica pseudo-privati, pur essendo strumenti investigativi potenti, devono essere rigorosamente autorizzati e giustificati.
La linea rossa non è solo legale, ma di affidabilità: se i metodi di raccolta violano sistematicamente le normative o l’etica, l’intelligence prodotta rischia di essere inutilizzabile in un procedimento giudiziario, compromettendo l’intero sforzo investigativo.
L’analista antiterrorismo deve agire con la consapevolezza che ogni dato raccolto deve non solo prevenire un attacco, ma anche superare il vaglio della legittimità giuridica, rendendo l’etica e il rispetto della legge non optional, ma elementi essenziali della metodologia OSINT stessa. In definitiva, l’efficacia contro il terrore si misura nella capacità di bilanciare la ricerca aggressiva con la tutela dei diritti fondamentali, trasformando l’OSINT da strumento di sorveglianza di massa in un faro chirurgico puntato solo sulle minacce più concrete.
La zona grigia e l’etica personale
L’evoluzione tecnologica impone una riflessione costante sulla natura del “pubblico” e del “manifestamente reso pubblico”. Mentre la giurisprudenza fatica a tenere il passo con l’evoluzione dei social media e delle piattaforme effimere, l’analista si trova a operare in una zona grigia in continua espansione.
Consideriamo, ad esempio, le piattaforme di gaming online o i forum di nicchia. Se un canale di gaming viene cooptato e utilizzato per la diffusione di messaggi cifrati o l’organizzazione logistica, l’OSINT deve necessariamente spingersi in questi ambienti. Il dato lì presente, sebbene teoricamente “aperto” a tutti i partecipanti, gode di una ragionevole aspettativa di riservatezza tra gli utenti.
L’estrazione massiva di log di chat o l’analisi dei metadati dei profili in questi contesti, senza un mandato specifico, solleva seri dubbi sulla proporzionalità e sulla minimizzazione dei dati. L’obiettivo primario di salvare vite umane non può essere un assegno in bianco per ignorare i diritti civili; al contrario, richiede una metodologia impeccabile che prevenga abusi e garantisca la sostenibilità democratica dell’attività di intelligence.
Intelligenza artificiale e steganografia
Inoltre, il ruolo dell’Intelligenza Artificiale (AI) nel filtering e nell’analisi predittiva aggiunge un ulteriore strato di complessità etica e legale. I modelli di machine learning, addestrati su enormi dataset di comunicazioni estremiste e pubbliche, possono generare score di rischio o identificare potenziali reclutatori. Tuttavia, questi modelli sono intrinsecamente soggetti a bias algoritmici. Se i dataset di addestramento riflettono bias sociali preesistenti (ad esempio, sovra-rappresentando determinate etnie o gruppi socio-culturali come “a rischio”), l’AI potrebbe portare a un profiling ingiusto e discriminatorio di innocenti. Le agenzie devono quindi implementare non solo misure di privacy by design, ma anche di equity and fairness by design, sottoponendo i modelli predittivi a rigorosi audit per la trasparenza e la non discriminazione. L’OSINT basata sull’AI è potente, ma il suo output non può essere accettato ciecamente come “verità operativa”; deve essere sempre affiancato e convalidato dall’analisi umana e dall’incrocio con intelligence di tipo tradizionale (HUMINT o SIGINT).
Un’altra sfida operativa è rappresentata dal data void creato dalla crescente consapevolezza del nemico. Le organizzazioni terroristiche sono ormai esperte in OPSEC (Security of Operations); utilizzano tecniche di steganografia (nascondere messaggi all’interno di immagini o video innocui), migrano continuamente tra piattaforme, e impiegano linguaggi crittografati o allusivi per eludere i keywordtrigger.
L’OSINT, in questi casi, deve evolvere oltre la semplice ricerca testuale. Richiede l’impiego di analisti altamente specializzati nel cultural intelligence e nell’analisi linguistica, capaci di decodificare il simbolismo, l’umorismo di nicchia o i riferimenti storici specifici utilizzati per la comunicazione interna. L’uso dei metadati (geolocalizzazione, tempi di pubblicazione, pattern di accesso) diventa in questi casi più prezioso del contenuto stesso, consentendo di ricostruire la rete relazionale e logistica anche in assenza di comunicazioni esplicite.
Conclusioni
Infine, l’OSINT gioca un ruolo cruciale nella fase di de-radicalizzazione. Comprendendo i canali e le narrative che portano alla radicalizzazione (il come e il perché), le agenzie e le organizzazioni possono sviluppare contronarrative mirate da diffondere attraverso gli stessi canali aperti. Questo aspetto dell’OSINT, volto alla prevenzione sociale piuttosto che alla repressione, dimostra la sua valenza più etica e costruttiva.
Non si limita a identificare la minaccia, ma aiuta a neutralizzare l’ideologia alla fonte. Per chi opera in questo settore, l’OSINT non è solo una metodologia di raccolta dati, ma un complesso sistema di responsabilità sociale e legale. Solo garantendo che ogni passo, dalla raccolta all’analisi, sia eticamente ineccepibile e legalmente sostenibile, la comunità cyber e di intelligence potrà mantenere la fiducia del pubblico e la legittimità delle proprie operazioni essenziali per la sicurezza globale. La vera vittoria sull’estremismo, in questo teatro digitale, non è solo l’arresto, ma la salvaguardia delle libertà che si intende proteggere.
L'articolo OSINT e Anti-Terrorismo: Il Monitoraggio dei Canali Pubblici per isolare Minacce e Proselitismo proviene da Red Hot Cyber.
Sottovalutare la sicurezza informatica. Oggi parliamo di “La sicurezza rallenta il business”
Sottovalutare la sicurezza informatica oggi è quasi una posa. Un’abitudine.
Si parla ancora di sicurezza come di qualcosa che frena, che rallenta, che mette sabbia negli ingranaggi del business. Un’idea ripetuta così tante volte da sembrare vera. Ma resta un riflesso pigro, più che una valutazione reale.
Nel racconto aziendale, la sicurezza viene spesso dipinta come un costo secco. Un controllo in più. Una password lunga. Un passaggio che “fa perdere tempo”. Nessuno dice mai apertamente che la sicurezza sia inutile, ma il sottotesto è quello. Se serve correre, la sicurezza può aspettare. Tanto non succede niente.
O almeno non oggi.
Il falso dilemma tra velocità e protezione
Il punto è che questo conflitto è in gran parte inventato.
Sicurezza contro produttività, come se fossero due forze opposte. Come se una dovesse per forza mangiarsi l’altra. È un modo comodo di semplificare una questione più scomoda: progettare processi che funzionino davvero e con sicurezza.
Quando la sicurezza manca, o è trattata come un accessorio, il business non accelera. Si espone.
E prima o poi si ferma.
Non per mezz’ora, non per una call saltata.
Si ferma sul serio. Giorni. Settimane.
Reparti interi bloccati, sistemi irraggiungibili, persone che non sanno cosa fare se non aspettare. Altro che rallentamento.
Quando il blocco è reale, non teorico
Ci sono aziende che hanno smesso di operare per settimane intere. Produzione ferma. Logistica paralizzata. Clienti che chiamano e nessuno che può rispondere davvero. Non perché qualcuno avesse imposto troppi controlli, ma perché quei controlli non c’erano. O c’erano solo sulla carta, in qualche policy dimenticata.
In quei momenti il business scopre una cosa fastidiosa: la sicurezza non era un freno, era una cintura di sicurezza. Invisibile finché serve, fondamentale quando serve. E quando manca, il botto non è elegante. È caotico, rumoroso, costoso. E lascia strascichi lunghi, anche dopo il ripristino.
Il costo che nessuno mette nei fogli Excel
La narrativa del “la sicurezza rallenta” ignora sempre i costi indiretti. Il tempo perso dopo. Le decisioni prese di fretta. Le deroghe improvvisate. Le persone che aggirano i sistemi perché tanto “ora dobbiamo lavorare”. È lì che il business perde velocità vera, non quando implementa un controllo sensato.
E c’è anche un altro dettaglio, spesso trascurato: quando un’azienda è ferma per un incidente serio, non decide più nulla. Subisce. Ogni scelta è reattiva, confusa, sotto pressione. Non è produttività, è sopravvivenza.
E nemmeno fatta bene. Quella si chiama Crisis management.
La sicurezza come condizione, non come optional
Trattare la sicurezza come qualcosa che viene dopo, se avanza tempo, significa non aver capito il contesto attuale. Non è una questione morale, né ideologica. È operativa. Senza sicurezza minima, il business moderno non scorre. Si inceppa, e prima o poi si ferma. Traaaaaaaaaaak!
Le aziende che funzionano non sono quelle senza controlli, ma quelle in cui i controlli sono pensati per stare dentro il lavoro reale. Non contro. Non sopra. Dentro.
È meno spettacolare di quanto sembri, e forse per questo se ne parla male.
Un’idea dura a morire
Eppure il mantra resta. “La sicurezza rallenta”.
Lo si sente ancora dire, magari a bassa voce, magari in riunioni chiuse. È una scorciatoia mentale, comoda. Poi arriva lo stop, quello vero, e nessuno parla più di rallentamenti.
E si scopre che il problema non era la sicurezza, ma l’averla trattata come un intralcio invece che come una condizione di partenza.
Un errore semplice, quasi banale. Eppure da molti fatto ancora oggi.
L'articolo Sottovalutare la sicurezza informatica. Oggi parliamo di “La sicurezza rallenta il business” proviene da Red Hot Cyber.
RansomHouse rilascia Mario! Il ransomware si evolve e diventa più pericoloso
Il gruppo dietro RansomHouse, uno dei più noti servizi di distribuzione di ransomware, ha rafforzato le capacità tecniche dei suoi attacchi. Secondo gli esperti, i criminali informatici hanno aggiunto al loro arsenale uno strumento di crittografia aggiornato, caratterizzato da un’architettura più complessa e funzionalità ampliate.
Le modifiche hanno interessato sia l’algoritmo di elaborazione dei file sia i metodi che ne complicano l’analisi successiva. RansomHouse è attivo dalla fine del 2021, inizialmente con fughe di dati e poi con l’uso attivo di ransomware negli attacchi.
Il servizio si è sviluppato rapidamente, incluso il rilascio dell’utility MrAgent per il blocco di massa degli hypervisor VMware ESXi. Uno degli incidenti più recenti noti ha riguardato l’uso di diverse varianti di ransomware contro la società di e-commerce giapponese Askul
Un recente rapporto dell’Unità 42 di Palo Alto Networks descrive una nuova variante del ransomware chiamata “Mario“. A differenza della versione precedente, che utilizzava un’elaborazione monofase, la modifica aggiornata utilizza un approccio a due fasi con due chiavi: una chiave primaria da 32 byte e una chiave secondaria da 8 byte.
Ciò aumenta significativamente la potenza della crittografia e complica i tentativi di recupero dei dati.
Un’ulteriore protezione è fornita da un meccanismo di elaborazione dei file riprogettato. Invece di uno schema lineare, viene utilizzata la suddivisione dinamica dei blocchi, con una soglia di 8 GB e crittografia parziale.
Le dimensioni e il metodo di elaborazione di ciascun file dipendono dalle sue dimensioni e vengono calcolati utilizzando complesse operazioni matematiche. Questo approccio complica l’analisi statica e rende il comportamento del crittografo meno prevedibile.
Anche la struttura di gestione della RAM è stata modificata: ora vengono utilizzati buffer separati per ogni fase di crittografia. Ciò aumenta la complessità del codice e riduce la probabilità di rilevamento durante l’analisi. Inoltre, la nuova versione fornisce informazioni più dettagliate durante l’elaborazione dei file, mentre in precedenza si limitava a un messaggio sul completamento dell’attività.
I file delle macchine virtuali, che ricevono l’estensione “.emario” dopo la crittografia, rimangono il bersaglio degli attacchi. In ogni directory interessata viene lasciato un messaggio con le istruzioni su come ripristinare l’accesso ai dati (ransom note).
Gli specialisti dell’Unità 42 sottolineano che questa evoluzione del ransomware RansomHouse è un segnale d’allarme. La maggiore complessità ostacola la decrittazione e complica notevolmente l’analisi dei campioni, suggerendo una strategia ben ponderata, focalizzata non sulla scala, ma sull’efficienza e sulla segretezza.
L'articolo RansomHouse rilascia Mario! Il ransomware si evolve e diventa più pericoloso proviene da Red Hot Cyber.
l'UE sempre più "mazzolata", ma bomber Pfizer & c pensano a giocare alla guerra.
Cina: dazi sui prodotti caseari UE
A partire da domani la Cina imporrà dazi dal 21,9% al 42,7% sui prodotti lattiero caseari dell’Unione Europea. Lo ha annunciato il ministro del Commercio cinese, che ha spiegato che la misura sarà temporanea e avrà lo scopo di compensare le perdite del settore in Cina. «I prodotti lattiero-caseari importati provenienti dall’UE ricevono sussidi», ha detto il ministro. «L’industria lattiero-casearia nazionale cinese ha subito danni sostanziali ed esiste un nesso causale tra i sussidi e il danno», ha aggiunto.
Device Code Phishing: la minaccia che non ruba password, ma compromette gli account utente
@Informatica (Italy e non Italy 😁)
Il phishing del codice dispositivo provoca la compromissione dell’account, l’esfiltrazione di dati e molto altro ancora. Ecco come proteggersi dal Device Code Phishing, la forma di phishing che non ruba la password, ma si
Informatica (Italy e non Italy 😁) reshared this.
Andiamo a dire #NO a questo nuovo tentativo di spallata antidemocratica
@Giornalismo e disordine informativo
articolo21.org/2025/12/andiamo…
Tutto sbagliato. Innanzitutto non sono tutti gli avvocati di Siena a dire Sì ma soltanto (com’è scritto nell’articolo a differenza del titolo) quelli che
Giornalismo e disordine informativo reshared this.
Lo sgombero di Askatasuna e il ruolo dello Stato
@Giornalismo e disordine informativo
articolo21.org/2025/12/lo-sgom…
Il punto non è quanto ci piaccia o meno Askatasuna, quanto ci entusiasmino presupposto ideologico, finalità, obiettivi e metodi. Il punto è cosa deve tentare di fare la politica di fronte ad un fatto sociale così rilevante,
Giornalismo e disordine informativo reshared this.
Da un anno non mi rinnovano la tessera stampa turca. Perché?
@Giornalismo e disordine informativo
articolo21.org/2025/12/da-un-a…
“È da circa un anno che non ho ottenuto il rinnovo della mia tessera stampa turca, necessaria per la mia attività giornalistica, pubblica, in Turchia in qualità di corrispondente di Radio
Giornalismo e disordine informativo reshared this.
Libertà di stampa, dal rapporto Unesco il peggior arretramento globale degli ultimi decenni
@Giornalismo e disordine informativo
articolo21.org/2025/12/liberta…
Secondo il World Trends in Freedom of Expression and Media Development 2022–2025 dell’Unesco la
Giornalismo e disordine informativo reshared this.
La Cisl Scuola Torino Canavese a fianco di Alberto Trentini
@Giornalismo e disordine informativo
articolo21.org/2025/12/la-cisl…
“Da oggi simbolicamente Alberto sarà con noi in ogni iniziativa. Abbiamo scelto che una sua immagine sia presente in tutte le nostre attività sindacali. Un gesto semplice che serve a non far mai
Giornalismo e disordine informativo reshared this.
Marisa Kabas of The Handbasket joins the pod to talk about indie journalism, the industry, and what's going on in the federal government
Marisa Kabas of The Handbasket joins the pod to talk about indie journalism, the industry, and whatx27;s going on in the federal government#podcasts
Podcast: Marisa Kabas on Landing Big Scoops as an Independent Journalist
Marisa Kabas is the founder of The Handbasket, an independent newsletter and website that has been breaking stories left and right about government workers, the media business, and Trump’s mass deportation campaign. Please go subscribe to The Handbasket here!In this episode of the podcast, Jason and Marisa share notes Marisa about doing journalism without a big newsroom, how the media business has changed over the last decade, and why sources often prefer to talk to journalists who don’t work for mainstream media.
playlist.megaphone.fm?e=TBIEA5…
Stories discussed:
Truth, morality and independence in journalism under the second Trump regime
My full remarks to students and faculty at Grinnell College.The HandbasketMarisa Kabas
Listen to the weekly podcast on Apple Podcasts, Spotify, or YouTube. Become a paid subscriber for access to this episode's bonus content and to power our journalism. If you become a paid subscriber, check your inbox for an email from our podcast host Transistor for a link to the subscribers-only version! You can also add that subscribers feed to your podcast app of choice and never miss an episode that way. The email should also contain the subscribers-only unlisted YouTube link for the extended video version too. It will also be in the show notes in your podcast player.Or watch it here:
youtube.com/embed/e73spvZnc9s?…Move fast and break people
For Elon Musk's government, the psychological warfare is the point.Marisa Kabas (The Handbasket)
The HandbasketMarisa Kabas
The HandbasketMarisa Kabas
Sistema politico
@Giornalismo e disordine informativo
articolo21.org/2025/12/sistema…
Il XXVIII Rapporto “Gli Italiani e lo Stato” 2025, realizzato da Demos & Pi, ha analizzato le percezioni degli italiani su istituzioni e politica, evidenziando trend preoccupanti come la scomparsa della classe media (solo il 45% si sente tale) e un crescente consenso verso soluzioni autoritarie, con il 30% che non
like this
reshared this
Flock left at least 60 of its people-tracking Condor PTZ cameras live streaming and exposed to the open internet.#Flock
Flock Exposed Its AI-Powered Cameras to the Internet. We Tracked Ourselves
I am standing on the corner of Harris Road and Young Street outside of the Crossroads Business Park in Bakersfield, California, looking up at a Flock surveillance camera bolted high above a traffic signal. On my phone, I am watching myself in real time as the camera records and livestreams me—without any password or login—to the open internet. I wander into the intersection, stare at the camera and wave. On the livestream, I can see myself clearly. Hundreds of miles away, my colleagues are remotely watching me too through the exposed feed.Flock left livestreams and administrator control panels for at least 60 of its AI-enabled Condor cameras around the country exposed to the open internet, where anyone could watch them, download 30 days worth of video archive, and change settings, see log files, and run diagnostics.
Unlike many of Flock’s cameras, which are designed to capture license plates as people drive by, Flock’s Condor cameras are pan-tilt-zoom (PTZ) cameras designed to record and track people, not vehicles. Condor cameras can be set to automatically zoom in on people’s faces as they walk through a parking lot, down a public street, or play on a playground, or they can be controlled manually, according to marketing material on Flock’s website. We watched Condor cameras zoom in on a woman walking her dog on a bike path in suburban Atlanta; a camera followed a man walking through a Macy’s parking lot in Bakersfield; surveil children swinging on a swingset at a playground; and film high-res video of people sitting at a stoplight in traffic. In one case, we were able to watch a man rollerblade down Brookhaven, Georgia’s Peachtree Creek Greenway bike path. The Flock camera zoomed in on him and tracked him as he rolled past. Minutes later, he showed up on another exposed camera livestream further down the bike path. The camera’s resolution was good enough that we were able to see that, when he stopped beneath one of the cameras, he was watching rollerblading videos on his phone.
0:00
/0:16
1×The exposure was initially discovered by YouTuber and technologist Benn Jordan and was shared with security researcher Jon “GainSec” Gaines, who recently found numerous vulnerabilities in several other models of Flock’s automated license plate reader (ALPR) cameras. They shared the details of what they found with me, and I verified many of the details seen in the exposed portals by driving to Bakersfield to walk in front of two cameras there while I watched myself on the livestream. I also pulled Flock’s contracts with cities for Condor cameras, pulled details from company presentations about the technology, and geolocated a handful of the cameras to cities and towns across the United States. Jordan also filmed himself in front of several of the cameras on the Peachtree Creek Greenway bike path. Jordan said he and Gaines discovered many of the exposed cameras with Shodan, an internet of things search engine that researchers regularly use to identify improperly secured devices.
youtube.com/embed/vU1-uiUlHTo?…
After finding links to the feed, “immediately, we were just without any username, without any password, we were just seeing everything from playgrounds to parking lots with people, Christmas shopping and unloading their stuff into cars,” Jordan told me in an interview. “I think it was like the first time that I actually got like immediately scared … I think the one that affected me most was as playground. You could see unattended kids, and that’s something I want people to know about so they can understand how dangerous this is.” In a YouTube video about his research, Jordan said he was able to use footage pulled from the exposed feed to identify specific people using open source investigation tools in order to show how trivially an exposure like this could be abused.Benn Jordan
Last year, Flock introduced AI features to Condor cameras that automatically zoom in on people as they walk by. In Flock’s announcement of this feature, it explained that this technology “zooms in on a suspect exiting one car, stealing an item from another, and returning to his vehicle. Every detail is captured, providing invaluable evidence for investigators.” On several of the exposed feeds, we saw Flock cameras repeatedly zooming in on and tracking random people as they walked by. The cameras can be controlled by AI or manually.The exposure highlights the fact that Flock is not just surveilling cars—it is surveilling people, and in some cases it is doing so in an insecure way, and highlight the types of places that its Condor cameras are being deployed. Condor cameras are part of Flock’s ever-expanding quest to “prevent crime,” and are sometimes integrated with its license plate cameras, its gunshot detection microphones, and its automated camera drones.
Cooper Quintin, senior staff technologist at the Electronic Frontier Foundation, told me the behavior he saw in videos we shared with him “shows that Flock's ambitions go far beyond license-plate surveillance. They want to be a nation-wide panopticon, watching everyone all the time. Flock's goal isn't to catch stolen cars, their goal is to have total surveillance of everyone all the time."
0:00
/1:03
1×The cameras were left not just livestreaming to the internet for anyone who could find the link, but in many cases their administrative portals were left open with no login credentials required whatsoever. On this portal, some camera settings could be changed, diagnostics could be run, and text logs of what the camera was doing were being streamed, too. Thirty days of the camera’s archive was left available for anyone to watch or download from any of the cameras that we found. We were not able to geolocate every camera that was left unprotected, but we found cameras at a New York City Department of Transportation parking lot, on a street corner in suburban New Orleans, in random cul-de-sacs, in a Lowes parking lot, in the parking lot of a skatepark, at a pool, outside a parking garage, at an apartment complex, outside a church, on a bike path, and at various street intersections around the country.
Quintin told me the situation reminds him of ALPR cameras from another company that were left unprotected a decade ago.
“This is not the first time we have seen ALPRs exposed on the public internet, and it won't be the last. Law enforcement agencies around the country have been all too eager to adopt mass surveillance technologies, but sometimes they have put little effort into ensuring the systems are secure and the sensitive data they collect on everyday people is protected,” Quintin said. “Law enforcement should not collect information they can’t protect. Surveillance technology without adequate security measures puts everyone’s safety at risk.”
It was not always clear which business or agency owned specific cameras that were left exposed, or what type of misconfiguration led to the exposure, though I was able to find a $348,000 Flock contract for Brookhaven, Georgia, which manages the Peachtree Creek Greenway, and includes 64 Condor cameras.
"This was a limited misconfiguration on a very small number of devices, and it has since been remedied," a Flock spokesperson told 404 Media. It did not answer questions about what caused the misconfiguration or how many devices ultimately were affected.
💡
Do you know anything else about surveillance? I would love to hear from you. Using a non-work device, you can message me securely on Signal at jason.404. Otherwise, send me an email at jason@404media.co.In response to Jordan and Gaines’ earlier research on vulnerabilities in other Flock cameras, Flock CEO Garrett Langley said in a LinkedIn post that “The Flock system has not been hacked. We secure customer data to the highest standard of industry requirements, including strict industry standard encryption. Flock’s cloud storage has never been compromised.” The exposure of these video feeds is not a hack of Flock’s system, but demonstrates a major misconfiguration of at least some cameras. It also highlights a major misconfiguration in its security that persisted for at least days.
“When I was making my last video [about Flock ALPR vulnerabilities], it was almost like a catchphrase where I'd say like, ‘I don't see how it could get any worse.’ And then something would happen where you'd be like, wow, they pulled it off. They made it worse,” Jordan said. “And then this is like the ultimate one. Because this is completely unrelated [to my earlier research] and I don’t really know how it could be any worse to be honest.”
In a 2023 video webinar introducing the Condor platform to police, Flock executives said the cameras are meant to be paired with their ALPR cameras and are designed to feed video to FlockOS, a police panel that allows cops to hop from camera to camera in real time across a mapped-out view of their city. In Bakersfield, which has 382 Flock cameras according to a transparency report, one of the Condor cameras we saw was located next to a mall that had at least two Flock ALPR cameras stationed at the entrances to the mall parking lot.Kevin Cox, a Flock consultant who used to work for the Grand Prairie, Texas Police Department, said in the webinar that he built an “intel center” with a high “density” of Flock cameras in that city. “I am passionate about this because I’ve lived it. The background behind video [Condor] with LPR is rich with arrests,” he said. “That rich experience of seeing what happened kind of brings it alive to [judges]. So video combined with the LPR evidence of placing a vehicle at the scene or nearby is an incredibly game changing experience into the prosecutorial chain of events.”
“You can look down a tremendous distance with our cameras, to the next intersection and the next intersection,” he said. “The camera will identify people, what they’re wearing, and cars up to a half a mile away. It’s that good.”
0:00
/0:08
1×Condor cameras in a Flock demo showing off its AI tracking features
In the webinar Cox pulled up a multiview panel of a series of cameras and took control of them, dragging, panning, and zooming on cameras and hopping between multiple cameras in real time. Cox suggested that police officers could either use Flock’s cameras to pinpoint a person at a place and time and then use it to request “cell tower dumps” from wireless companies, or could use cell GPS data to then go into the Flock system to track a person as they moved throughout a city. “If you can place that person’s cell phone and then the Condor video and Falcon LPR evidence, it would be next to impossible to beat that in court,” he said, adding that some towns may just want to have always-on, always recording video of certain intersections or town squares. “There’s endless endless uses to what we can do with these things.”
On the webinar, Seth Cimino, who was a police officer at the Citrus Heights, California police department at the time but now works directly for Flock, told participants that officers in his city enjoyed using the cameras to zoom in on crimes.
“There is an eagerness amongst our staff that are logged in that have their own Flock accounts to be able to monitor our ALPR and pan tilt zoom Condor cameras throughout the community, to a point where sometimes our officers are beating dispatch with the information,” he said. “If there’s an incident that occurs at a specific intersection or a short distance away where our Condor cameras can zoom in on that area, it allows for real time overwatch […] as I sit here right now with you—how cool is this? We just had a Flock alert here in the city. I mean, it just popped up on my screen!”
Samantha Cole contributed reporting.
Introducing Condor Live and Recorded Video
Respond with Confidence with a cutting-edge video camera that empowers officerswww.flocksafety.com
“Gli zar della Casa Bianca”. L’ultimo libro Antonio Di Bella ci aiuta a leggere l’America di oggi
@Giornalismo e disordine informativo
articolo21.org/2025/12/gli-zar…
Stravagante, imprevedibile, un unicum. Così è stata definita la presidenza Trump. Ma, per quanto non manchino gli aspetti nuovi, come la confluenza di interessi personali e pubblici o
Giornalismo e disordine informativo reshared this.
The Music of the Sea
For how crucial whales have been for humanity, from their harvest for meat and oil to their future use of saving the world from a space probe, humans knew very little about them until surprisingly recently. Most people, even in Herman Melville’s time, considered whales to be fish, and it wasn’t until humans went looking for submarines in the mid-1900s that we started to understand the complexities of their songs. And you don’t have to be a submarine pilot to listen now, either; all you need is something like these homemade hydraphones.
This project was done as part of a workshop in Indonesia, and it only takes a few hours to build. It’s based on a piezo microphone enclosed in a small case. A standard 3.5 mm audio cable runs into the enclosure and powers a preamp using a transistor and two resistors. With the piezo microphone and amplifier installed in this case, the case itself is waterproofed with a spray and allowed to dry. When doing this build in places where Plasti-Dip is available, it was found to be a more reliable and faster waterproofing method. Either way, with the waterproofing layer finished, it’s ready to toss into a body of water to listen for various sounds.
Some further instructions beyond construction demonstrate how to use these to capture stereo sounds, using two microphones connected to a stereo jack. The creators also took a setup connected to a Raspberry Pi offshore to a floating dock and installed a set permanently, streaming live audio wirelessly back to the mainland for easy listening, review, and analysis. There are other ways of interacting with the ocean using sound as well, like this project, which looks to open-source a sonar system.
Thanks to [deathbots] for the tip!
Internet-Connected Consoles Are Retro Now, And That Means Problems
A long time ago, there was a big difference between PC and console gaming. The former often came with headaches. You’d fight with drivers, struggle with crashes, and grow ever more frustrated dealing with CD piracy checks and endless patches and updates. Meanwhile, consoles offered the exact opposite experience—just slam in a cartridge, and go!
That beautiful feature fell away when consoles joined the Internet. Suddenly there were servers to sign in to and updates to download and a whole bunch of hoops to jump through before you even got to play a game. Now, those early generations of Internet-connected consoles are becoming retro, and that’s introduced a whole new set of problems now the infrastructure is dying or dead. Boot up and play? You must be joking!
Turn 360 Degrees And Log Out
Microsoft first launched the Xbox 360 in 2005. It was the American company’s second major console, following on from the success of the Xbox that fought so valiantly against the Sony PlayStation 2 and the Nintendo GameCube. Where those sixth generation consoles had been the first to really lean in to online gaming, it was the seventh generation that would make it a core part of the console experience.
The Xbox 360 liked to sign you straight into Xbox Live the moment you switched on the console. All your friends would get hear a little bling as they were notified that you’d come online, and you’d get the same in turn. You could then boot into the game of your choice, where you’d likely sign into a specific third-party server to check for updates and handle any online matchmaking.
The Xbox 360 didn’t need to be always online, it just really wanted you to be. This was simply how gaming was to be now. Networked and now highly visible, in a semi-public way. Where Microsoft blazed a trail in the online user experience for the console market, Sony soon followed with its own feature-equivalent offering, albeit one that was never quite as elegant as that which it aimed to duplicate.
Fire up an Xbox 360 today, and you’ll see that console acting like it’s still 2008 or something. It will pleasantly reach out to Microsoft servers, and it will even get a reply—and it will then prompt you to log in with your Xbox Live or Microsoft account. You’ve probably got one—many of us do—but here lies a weird problem. When you try to log in to an Xbox 360 with your current Microsoft account, you will almost certainly fail! You might get an error like 8015D086 or 8015D000, or have it fail more quietly with a simple timeout.
It all comes down to authentication. See, the Internet was a much happier, friendly place when the Xbox 360 first hit the shelves. Back then, a simple password of 8 characters or more with maybe a numeral or two was considered pretty darn good for login purposes. Not like today, where you need to up the complexity significantly and throw in two-factor authentication to boot. And therein lies the problem, because the Xbox 360 was never expecting two-factor authentication to be a thing.
Today, your Microsoft account won’t be authorized for login without it, and thus your Xbox 360 won’t be able to log in to Xbox Live. In fairness, you wouldn’t miss much. All the online stores and marketplaces and games servers were killed ages ago, after all. However, the 360 really doesn’t like not being online. It will ask you all the time if you want to sign in! Plus, if you wanted to get your machine the very last dashboard updates or anything like that… you need to be able to sign into Xbox Live.
Thankfully, there is a workaround. Community members have found various solutions, most easily found in posts shared on Reddit. Sometimes you can get by simply by disabling two-factor authentication and changing to a low-complexity password due to the 360’s character limit in the entry field. If that doesn’t work, though, you have to go to the effort to set up a special “App Password” in your Microsoft account that will let the Xbox 360 authenticate in a simpler, more direct fashion.
Pull all this off, and you’ll hear that famous chime as your home console reaches the promised land of Xbox Live. None of your friends will be online, and nobody’s really checking your Gamerscore anymore, but now you can finally play some games!
Only, for a great many titles on the Xbox 360, there were dedicated online servers, too. Pop in FIFA 16, and the game will stall for a moment before it reports that it’s failed to connect to EA’s servers. Back in the day, those servers provided a continual stream of minor updates to the game, player rosters, and stats, making it feel like almost a living thing. Today, there’s nothing out there but a request that always times out.
This would be no issue if it happened just once, but alas… you’ll have to tangle with the game doing this time and again, every time you boot it up. It wants that server, it’s so sure it’s out there… but it never phones back from the aether.
Many games still retain most of their playability without an Internet connection, and most consoles will still boot up without one. Nevertheless, the more these machines are built to rely on an ever-present link to the cloud, the less of them will be accessible many years into the future.
Not Unique
This problem is not unique to the Xbox 360. It’s common to run into similar problems with the PlayStation 3, with Sony providing a workaround to get the old consoles online. For both consoles, you’re still relying on the servers remaining online. It’s fair to assume the little remaining support for these machines will be switched off too, in time. Meanwhile, if you’re playing Pokemon Diamond on the Nintendo DS, you’ve probably noticed the servers are completely gone. In that case, you’re left to rely on community efforts to emulate the original Nintendo WFC servers, which run with varying levels of success. For less popular games, though there’s simply nothing left—whatever online service there was is gone, and it’s not coming back.
These problems will come for each following console generation in turn. Any game and any console that relies on manufacturer-run infrastructure will eventually shut down when it becomes no longer profitable or worthwhile to run. It’s a great pity, to be sure. The best we can do is to pressure manufacturers to make sure that their hardware and games retain as much capability as possible when a connection isn’t available. That will at least leave us with something to play when the servers do finally go dark.
Apple: multa di 115 milioni di dollari dal Garante della Concorrenza e del Mercato italiano
L’Autorità Garante della Concorrenza e del Mercato italiana (AGCM) ha imposto una sanzione significativa ad Apple. La sanzione ammonta a 98,6 milioni di euro, ovvero circa 115 milioni di dollari. ed è relativa a al presunto abuso di posizione dominante nel mercato delle app mobili.
Secondo l’autorità di regolamentazione italiana, l’azienda ha limitato gli sviluppatori di app di terze parti, violando le norme europee sulla concorrenza. Il caso riguarda l’informativa sulla privacy dell’App Tracking Transparency (ATT) introdotta nel 2021, in base alla quale Apple richiede agli sviluppatori un consenso separato agli utenti per raccogliere dati e utilizzarli a fini pubblicitari.
La notifica corrispondente non viene generata dagli sviluppatori stessi, ma da Apple stessa, e solo secondo uno scenario stabilito dall’azienda.
L’agenzia ritiene che questo approccio crei condizioni di disparità per gli operatori di mercato e violi i principi di proporzionalità. Afferma che la politica di raccolta dati è imposta unilateralmente, ostacola il pieno funzionamento dei partner commerciali ed è incompatibile con le normative sulla protezione dei dati personali.
Particolare attenzione è stata prestata al fatto che gli sviluppatori terzi erano costretti a duplicare le richieste di consenso, costringendo di fatto gli utenti a ripetere la stessa procedura più volte.
Ciò, secondo l’autorità di regolamentazione, ha comportato ulteriori complicazioni e ha messo le aziende che utilizzano l’App Store in una posizione vulnerabile.
L’indagine è iniziata nella primavera del 2023.
Le autorità italiane hanno sottolineato che l’indagine è stata condotta in stretta consultazione con la Commissione Europea e le autorità antitrust di altri Paesi. Apple non ha ancora rilasciato dichiarazioni ufficiali in merito alla decisione.
L'articolo Apple: multa di 115 milioni di dollari dal Garante della Concorrenza e del Mercato italiano proviene da Red Hot Cyber.
Preparatevi alla distruzione dei dati! Se non paghi, la pubblicazione non basta. Entrano in scena i wiper
Secondo BI.ZONE, entro il 2026, gli aggressori opteranno sempre più per la distruzione totale dell’infrastruttura aziendale anziché per la crittografia.
Questo si riferisce a scenari in cui, dopo essere penetrati in una rete, gli aggressori utilizzano wiper, strumenti distruttivi che cancellano i dati e possono disabilitare le apparecchiature di rete. Questo approccio aumenta i danni e complica il ripristino: le aziende devono affrontare non solo tempi di inattività, ma anche la perdita di componenti critici.
Nel 2025, le aziende del settore retail sono state le più frequenti richiedenti di indagini su incidenti informatici gravi, rappresentando il 31% di tutte le richieste. BI.ZONE rileva inoltre che il settore retail è diventato il principale responsabile delle violazioni dei dati, rappresentando quasi il 40% dei casi.
Le cause principali includono problemi comuni: infrastrutture IT obsolete e scarsa segmentazione della rete, che consentono agli attacchi di diffondersi più rapidamente lungo il perimetro e di colpire più sistemi.
Il settore IT si è classificato al secondo posto in termini di numero di indagini, con una quota del 26%. Anche le piccole aziende IT sono attraenti per gli aggressori, poiché spesso lavorano come appaltatori per grandi clienti. Di conseguenza, la compromissione di un’azienda appaltatrice viene utilizzata come gateway per infrastrutture più sicure. BI.ZONE stima che nel 2025 il 30% degli incidenti altamente critici fosse collegato ad attacchi tramite terze parti. Un anno prima, questa percentuale era la metà, al 15%.
Il terzo posto in termini di numero di indagini è condiviso da aziende di trasporto, telecomunicazioni e organizzazioni governative, ciascuna responsabile dell’11% dei casi. BI.ZONE descrive la tendenza generale come una crescente sofisticatezza e distruttività degli attacchi, mentre le motivazioni di base rimangono le stesse: il guadagno finanziario rimane dominante e il phishing rimane il metodo più comune di penetrazione iniziale. Tuttavia, l’enfasi si sposta di anno in anno: nel 2022, defacement e campagne di hacktivisti sono stati prominenti, nel 2023, fughe di notizie e dump di dati di massa, nel 2024, la crittografia attiva delle infrastrutture e nel 2025 l’uso di wiper è stato registrato con frequenza significativamente maggiore.
BI.ZONE rileva anche un aumento del tempo necessario agli aggressori per rimanere inosservati nell’infrastruttura. Nel 2024, la media era di 25 giorni, per poi salire a 42 giorni nel 2025. Tuttavia, la differenza rimane significativa: il tempo minimo di sviluppo dell’attacco dalla penetrazione alla crittografia nel 2025 era di 12,5 minuti, mentre il massimo era di 181 giorni.
Il ripristino da tali incidenti richiede ancora molto tempo.
Nel 2025, le aziende colpite hanno impiegato in media tre giorni per ripristinare i sistemi critici necessari alla ripresa delle operazioni aziendali. Il ripristino completo dei processi aziendali ha richiesto in media 14 giorni.
L'articolo Preparatevi alla distruzione dei dati! Se non paghi, la pubblicazione non basta. Entrano in scena i wiper proviene da Red Hot Cyber.
Macché autonomia e ricarica, il problema è l'assistenza - Vaielettrico
Macché autonomia e ricarica, il problema delle auto elettriche è l'assistenza. Il racconto di Renato con la sua Tesla.Redazione (Vaielettrico)
Pirate News: Section 230 Repeal? No!
youtube.com/@masspiratesSteve and James discuss a new bipartisan effort to sunset CDA Section 230, a Trump DOJ memorandum the claims recording ICE agents is violence and wish you all a happy holidays on our last pirate news for 2025.
youtube.com/embed/66viFR-abPQ?…
Sign up to our newsletter to get notified of new events or volunteer. Join us on:
Check out:
- Surveillance Memory Bank and Resources;
- Our Administrative Coup Memory Bank;
- Our Things to Do when Fascists are Taking Over.
Some links we mentioned:
- Senators Want To Hold The Open Internet Hostage, Demand Zuckerberg Write The Ransom Note;
- The Government Unconstitutionally Labels ICE Observers as Domestic Terrorists.
Image Credit: Cory Doctorow, CC By-SA 4.0, Source Image.
What I learned about tech policy in 2025
IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and I hope you, like me, are getting ready for Festivus on Dec 23. (Remember: it's for the rest of us.) My household already has its Festivus pole up, and is preparing for both feats of strength and the annual airing of grievances.
In all seriousness, thank you for all the support this year. I hope you and yours can find time to rest and recover over the final weeks of the year.
One programming note: the first Digital Politics newsletter of 2026 will be on Jan 5, so no edition next week. Happy Holidays.
Let's get started:
How To Build Good Contact Mics
We’re most familiar with sound as vibrations that travel through the atmosphere around us. However, sound can also travel through objects, too! If you want to pick it up, you’d do well to start with a contact mic. Thankfully, [The Sound of Machines] has a great primer on how to build one yourself. Check out the video below.
The key to the contact mic is the piezo disc. It’s an element that leverages the piezoelectric effect, converting physical vibration directly into an electrical signal. You can get them in various sizes; smaller ones fit into tight spaces, while larger ones perform better across a wider frequency range.
[The Sound of Machines] explains how to take these simple piezo discs and solder them up with connectors and shielded wire to make them into practical microphones you can use in the field. The video goes down to the bare basics, so even if you’re totally new to electronics, you should be able to follow along. It also covers how to switch up the design to use two piezo discs to deliver a balanced signal over an XLR connector, which can significantly reduce noise.
There’s even a quick exploration of creative techniques, such as building contact mics with things like bendable arms or suction cups to make them easier to mount wherever you need them. A follow-up explores the benefits of active amplification. The demos in the video are great, too. We hear the sound of contact mics immersed in boiling water, pressed up against cracking spaghetti, and even dunked in a pool. It’s all top stuff.
These contact mics are great for all kinds of stuff, from recording foley sounds to building reverb machines out of trash cans and lamps.
youtube.com/embed/JrN4HSJadNM?…
youtube.com/embed/Di3zThxTnnw?…
Una recensione negativa, un indirizzo di casa e il GDPR che piange
Il caso del provv. n. 591 del 9 ottobre 2025 dell’Autorità Garante per la protezione dei dati personali è emblematico nel rappresentare quanto un’eccessiva leggerezza nel comunicare o, come in questo caso, diffondere dati personali possa comportare una violazione del GDPR.
Tutta colpa di una recensione, verrebbe da dire. O meglio: della risposta data ad una recensione negativa, in cui è stata riportata, come intestazione, nome e cognome nonché l’indirizzo di residenza dell’autore della sopradetta recensione. Autore che si è piuttosto risentito e ha presentato per questo motivo un reclamo al Garante Privacy il quale ha avviato un procedimento sulla possibile illiceità del trattamento dal momento che è stato diffuso un indirizzo di residenza senza una base giuridica valida e per finalità assolutamente divergenti rispetto a quelle per cui era stato legittimamente raccolto.
La difesa della società quale soggetto titolare del trattamento ha però voluto insistere sul fatto che:
“il reclamato utilizzo del solo indirizzo […] risulta certamente strumentale e necessario da parte di questo titolare del Camping Don Diego a dare doveroso riscontro alla “recensione negativa” sul portale di Google”.
cancellando in seguito all’audizione i dati di residenza in adesione alla richiesta formulata nel reclamo.
La decisione del Garante Privacy.
Non dovrebbe sorprendere più di tanto che il Garante non abbia accolto tale tesi difensiva, confermando così la violazione del principio di liceità e di limitazione della finalità,
in quanto il titolare del trattamento ha diffuso in rete illecitamente l’indirizzo di residenza della reclamante in assenza di idonea base giuridica e per finalità diverse da quelle che ne avevano determinato la relativa raccolta.
I dati personali del reclamante, tra cui rientra anche l’indirizzo di residenza, sono stati infatti raccolti per dare esecuzione a misure precontrattuali e contrattuali per il periodo di soggiorno. Inoltre, come è intuitivo, un riscontro ad una recensione non richiede certo l’intestazione del destinatario se viene fornito come reply.
Facendo riferimento proprio al contesto del trattamento, il Garante ricorda come criterio orientativo, quello fornito dal considerando n. 39 del GDPR che può essere convertito in una domanda che è sempre bene porsi: è davvero necessario trattare quei dati personali per ciò che voglio fare?
Potremmo dire: first think, then process the personal data.
In questo pensare, sarà bene individuare ciò che si vuole fare con i dati e cogliere l’occasione per applicare il principio di minimizzazione in modo hardcore andando a ricercare alternative in cui si conseguono le stesse finalità senza scomodare alcun dato personale. Dopodiché si ricercano soluzioni alternative sempre riducendo al minimo la quantità di dati da impiegare.
Altrimenti, quel che accade è semplicemente l’accettazione del rischio che la modalità di trattamento sia illecita. Come in questo caso che è valso un ammonimento del titolare e la pubblicazione del provvedimento.
Non basta il buon senso.
Attenzione, però, a ritenere che sia sufficiente il buon senso. Perché può rivelarsi un alleato inaffidabile soprattutto quando non si hanno chiare le regole del gioco.
Infatti, la maggior parte di quelle che vengono catalogate come leggerezze si fondano proprio su una mancata consapevolezza di ciò che si può fare e ciò che non si può fare con un dato personale, qualunque esso sia e in qualunque modo sia stato raccolto.
Fun fact: per il titolare sarebbe stato sufficiente rileggere la propria informativa per comprendere i limiti d’impiego di quei dati personali. Dopotutto, nella stessa venivano riportate le attività che ci si proponeva di svolgere e nessuna di queste prevedeva la diffusione dei dati.
L'articolo Una recensione negativa, un indirizzo di casa e il GDPR che piange proviene da Red Hot Cyber.
la_r_go* reshared this.
Phishing NoiPA: analisi tecnica di una truffa che sfrutta aumenti e arretrati
“Salve.”
Non “Gentile”, non “Spettabile”, non nome e cognome.
Solo “Salve.”
A leggerla così, fa quasi tenerezza.
Sembra l’inizio di una mail scritta di corsa, magari riciclata da un modello vecchio, senza nemmeno lo sforzo di una personalizzazione. C’è il logo giusto, c’è un titolo burocratico abbastanza vago, c’è quel tono da comunicazione di sistema che abbiamo imparato a riconoscere – e a ignorare.
E infatti il primo istinto, per chi è un minimo smaliziato, è questo: “Ma dai.”
Ed è proprio qui che conviene fermarsi.
Perché se viene da ridere, se si giudica per quanto è scritta male, si sta facendo esattamente quello che questa email si aspetta.
Una mail di phishing non deve essere elegante né credibile al cento per cento.
Spesso deve essere solo sufficientemente compatibile con ciò che ci si aspetta di ricevere in quel momento.
Da qui in poi, non ha più senso parlare di stile.
Ha senso parlare di funzione.
Una truffa vecchia che sfrutta un contesto nuovo
Questa non è una truffa nuova. È uno schema già visto, che continua a funzionare perché viene riattivato nel momento giusto.
Negli ultimi mesi, complice il tema degli aumenti e degli arretrati NoiPA, è tornata a circolare questa campagna di phishing che ripropone modelli noti, con variazioni minime nel lessico e nei riferimenti temporali. Non introduce tecniche innovative né soluzioni sofisticate: sfrutta un’aspettativa reale, quella di ricevere una comunicazione ufficiale legata a eventi economici concreti e ampiamente discussi.
Il punto di forza dell’attacco è tutto qui.
L’aggancio a elementi reali e verificabili – aumenti, arretrati, emissioni straordinarie – elimina la necessità di costruire una narrazione articolata. Il destinatario non deve chiedersi se quella comunicazione possa esistere, ma solo se sia arrivata nel modo corretto.
Per questo l’interesse del caso non sta nella truffa in sé, che è nota e ciclica, ma nella sua sincronizzazione con il contesto. È una dinamica ricorrente: ogni volta che un evento reale rende plausibile l’azione richiesta, lo schema torna a funzionare.
Ed è su questa dinamica, più che sulla singola campagna, che vale la pena soffermarsi.
Il metodo: analisi di un testo di phishing
Un’email di phishing va letta come una sequenza di obiettivi operativi, non come un messaggio informativo.
Gli obiettivi sono sempre gli stessi:
- farsi aprire
- non generare sospetto immediato
- spingere l’utente verso un’azione esterna
Se questa sequenza è coerente, il phishing molto spesso funziona anche quando il testo è mediocre.
Con questo schema in mente, il messaggio diventa leggibile per quello che è.
Dissezione tecnica del messaggio: cosa fa ogni elemento e perché funziona
Un’email di phishing non racconta una storia.
Implementa una sequenza di azioni progettate per guidare il comportamento dell’utente con il minimo attrito possibile.
Apertura e saluto: scalabilità prima di tutto
Il messaggio si apre con un semplice “Salve”.
Nessun nome, nessun cognome, nessuna personalizzazione.
Non è una svista. È una scelta funzionale alla scalabilità dell’attacco. Inserire dati anagrafici richiede liste affidabili, aggiornate e coerenti. Ometterli consente l’invio massivo senza ridurre in modo significativo il tasso di apertura. L’obiettivo non è colpire tutti, ma colpire abbastanza.
Allo stesso tempo, l’assenza di riferimenti personali colloca l’email nel perimetro delle comunicazioni automatiche: non sembra una mail individuale, ma una mail “di sistema”. Questo normalizza l’anomalia.
Oggetto e apertura: abbassare la soglia di attenzione
Oggetto e prime righe utilizzano formule vaghe e amministrative, come “integrazione dati personali”.
Non forniscono informazioni concrete, non promettono nulla, ma sono compatibili con messaggi di servizio reali.
La loro funzione è semplice: farsi aprire senza attivare allarmi immediati.
Registro linguistico: personalizzazione apparente a costo zero
Nel corpo del messaggio compare l’uso ripetuto del pronome “tua”:
“la tua area riservata”, “la tua posizione”.
Non è informazione. È simulazione di personalizzazione.
Questo registro non appartiene alle comunicazioni ufficiali di NoiPA, normalmente impersonali e normative. Serve a creare l’illusione di un riferimento diretto senza introdurre elementi verificabili che potrebbero essere controllati o smentiti.
È una scorciatoia tipica del phishing bancario e previdenziale.
Link e azione richiesta: spostare il contesto
Il cuore dell’attacco è l’invito ad accedere all’area riservata tramite un link presente nell’email.
Questo passaggio risolve il problema centrale dell’attaccante: portare l’utente fuori dal canale email. Finché l’utente resta nel client di posta ha tempo, contesto e strumenti per verificare. Il link serve a trasferirlo rapidamente su un dominio controllato dall’attaccante, dove interfaccia, linguaggio e richieste sono completamente manipolabili.
Dal punto di vista procedurale, questo è il punto di rottura oggettivo: NoiPA non richiede accessi ai propri servizi tramite link email né aggiornamenti di dati personali con questa modalità.
Call to action: riutilizzabilità e attrito minimo
Il pulsante “Modifica i tuoi dati” è volutamente generico.
Non contiene riferimenti amministrativi, numeri di pratica o identificativi utente.
La sua genericità lo rende riutilizzabile su più campagne, più brand, più contesti. Specificare quali dati o quale procedura introdurrebbe attrito e aumenterebbe le possibilità di incoerenza. L’obiettivo non è spiegare, ma ottenere un click.
Urgenza: comprimere il tempo di verifica
L’urgenza viene introdotta solo nella parte finale del messaggio.
Il link ha una validità limitata e il mancato intervento potrebbe compromettere l’aggiornamento della busta paga con gli aumenti previsti.
Non serve a spaventare subito, ma a ridurre il tempo di verifica quando il messaggio è già apparso coerente. Inserirla all’inizio attiverebbe sospetti; inserirla alla fine forza una decisione rapida quando l’utente è già coinvolto.
Contesto reale: plausibilità senza spiegazioni
Il riferimento agli aumenti e agli arretrati risolve il problema della plausibilità contestuale.
Usare un evento reale elimina la necessità di costruire una narrativa artificiale. Il motivo della comunicazione è già noto.
Questo abbassa drasticamente la soglia critica.
Firma: autorità senza verificabilità
La firma “Il Team NoiPA” chiude il messaggio senza fornire alcun elemento verificabile.
Nessun nome, nessun ufficio, nessun riferimento normativo o contatto ufficiale.
È un’autorità astratta, sufficiente nel breve intervallo che precede il click. Inserire dettagli renderebbe possibile una verifica immediata, cosa che l’attaccante deve evitare.
Conclusione
Questa campagna non si regge su tecniche avanzate né su un’elaborazione particolarmente sofisticata del messaggio. Si regge su qualcosa di molto più semplice: l’allineamento temporale. Uno schema noto viene riattivato quando l’argomento è reale, atteso e già presente nel flusso informativo quotidiano.
In questo scenario, la qualità del testo diventa quasi irrilevante. La familiarità del tema abbassa le difese, riduce il tempo di verifica e sposta l’attenzione dal come al perché. È sufficiente che il messaggio sembri plausibile nel momento giusto.
Ed è proprio per questo che un’email che all’inizio “fa sorridere” continua ancora oggi a colpire.
L'articolo Phishing NoiPA: analisi tecnica di una truffa che sfrutta aumenti e arretrati proviene da Red Hot Cyber.
Leone XIV: “in parecchie nazioni e diocesi non è ancora assicurata la necessaria previdenza per le malattie e l’anzianità” - AgenSIR
“In parecchie nazioni e diocesi, non e ancora assicurata la necessaria previdenza per le malattie e l’anzianità”.M.Michela Nicolais (AgenSIR)
Semafori spenti, auto autonome bloccate: il blackout mette in crisi Waymo
Un’enorme interruzione di corrente a San Francisco ha causato interruzioni alla circolazione dei veicoli a guida autonoma. I veicoli a guida autonoma Waymo sono stati avvistati sulle strade cittadine, fermi agli incroci con le luci di emergenza accese. Le interruzioni sono state causate da un’improvvisa interruzione di corrente ai semafori, causata da un incendio in una sottostazione PG&E.
A causa dell’incidente, Waymo ha sospeso il suo servizio di taxi autonomi nella Bay Area. I rappresentanti di Waymo hanno dichiarato di essere in stretto coordinamento con le autorità cittadine e di prevedere di riprendere il servizio il prima possibile. Tuttavia, non hanno specificato i motivi per cui i veicoli non hanno potuto riprendere il servizio.
Un incendio in una sottostazione ha causato interruzioni di corrente per circa 130.000 residenti. Entro domenica mattina, l’alimentazione era stata rispristinata, mentre i lavori proseguivano a Richmond, Golden Gate e in alcune zone del centro di San Francisco.
L’incidente ha evidenziato potenziali vulnerabilità nel sistema di guida autonoma di Waymo. Il sito web di Waymo afferma che i suoi veicoli si affidano alla segnaletica stradale e ai semafori per orientarsi. Il guasto dei semafori ha probabilmente impedito ai veicoli di determinare quando fosse sicuro procedere.
Gli esperti non escludono un problema più ampio: la dipendenza da infrastrutture remote. Se per qualsiasi motivo i data center che calcolano i percorsi ed elaborano i dati dei sensori dovessero guastarsi, le auto a guida autonoma rischiano di perdere completamente l’orientamento e di fermarsi, indipendentemente dalle condizioni stradali.
Le tecnologie di guida autonoma stanno progredendo rapidamente, ma qualsiasi interruzione delle infrastrutture urbane o cloud potrebbe metterne a nudo la fragilità e ricordarci che i sistemi di guida autonoma continuano a far parte di un ecosistema vulnerabile.
L'articolo Semafori spenti, auto autonome bloccate: il blackout mette in crisi Waymo proviene da Red Hot Cyber.
reshared this
MS13-089: il nuovo gruppo ransomware che ruba il nome a un vecchio bollettino Microsoft
MS13-089 apre un leak site sul dark web, espone i primi dati e adotta una strategia di doppia estorsione senza cifratura.
Un brand costruito su un vecchio ID Microsoft
Per anni “MS13-089” ha identificato un bollettino di sicurezza Microsoft del 2013 relativo a una vulnerabilità critica nel componente grafico GDI di Windows, sfruttabile per esecuzione di codice remoto. Oggi la stessa sigla viene riciclata come nome di un nuovo gruppo ransomware MS13-089.
Questa scelta non è solo un vezzo: riutilizzare un identificatore storico del mondo Microsoft introduce rumore nelle ricerche OSINT e sposta l’attenzione dall’immaginario “gang di strada” a quello “vulnerabilità software”. In pratica il gruppo si colloca subito nel perimetro cyber, sfruttando una sigla che gli analisti associano da anni a un problema di sicurezza ben documentato.
Il leak site: un messaggio chiaro
Lo screenshot, rilanciato da diversi siti e canali social del clearnet del leak site, mostra un’impostazione essenziale: in alto il nome MS13-089, al centro la sezione “LEAKED DATA” e subito sotto due card affiancate dedicate alle prime vittime. Ogni riquadro riporta logo, dominio, breve descrizione ufficiale estratta dal sito della vittima e una barra con la dicitura “PUBLISHED 1%”, insieme al pulsante “MORE”.
Questa struttura ricalca il modello ormai standard dei leak site di doppia estorsione: brand della gang in evidenza, elenco delle organizzazioni colpite con una scheda sintetica e un chiaro invito – il tasto “MORE” – a esplorare i campioni di dati pubblicati come prova dell’intrusione.
La barra “PUBLISHED 1%” che compare sotto ciascuna vittima non è una trovata grafica, ma un indicatore del livello di esposizione pubblica dei dati. Nel gergo dei leak site ransomware, questa etichetta segnala che solo circa l’1% dei dati sottratti è stato reso pubblico, mentre il restante 99% è ancora trattenuto dal gruppo come leva nella negoziazione con la vittima.
Doppia estorsione senza cifratura: la narrativa “non danneggiamo i pazienti”
Uno degli aspetti più peculiari di MS13-089 è la scelta dichiarata di non cifrare i sistemi delle vittime, concentrandosi esclusivamente su furto e minaccia di leak dei dati. In comunicazioni riportate da siti di monitoraggio delle violazioni, il gruppo sostiene di non aver cifrato gli asset di Virginia Urology “per non danneggiare i pazienti”, rivendicando una strategia basata unicamente sulla doppia estorsione.
Questa narrativa – già vista in altri contesti in cui gli attori cercano di presentarsi come “professionisti” più che come vandali – non cambia però la sostanza: l’esfiltrazione di cartelle cliniche, dati assicurativi e documentazione fiscale rimane un danno grave, con potenziali ricadute per milioni di persone e importanti conseguenze regolatorie (HIPAA nel contesto USA, GDPR in Europa). La leva non è più la paralisi operativa tramite cifratura, ma la minaccia di una esposizione pubblica irreversibile.
Impatti
Il debutto di MS13-089 conferma tendenze chiave del panorama ransomware:
- La doppia estorsione evolve oltre la cifratura: gruppi come MS13-089 mostrano che, in molti scenari, la sola minaccia di leak può bastare a innescare crisi reputazionali, legali e regolatorie di ampia portata, anche senza bloccare direttamente i sistemi.
- I leak site diventano asset di comunicazione centrale: elementi come la barra “PUBLISHED 1%” sono pensati non solo per informare gli analisti, ma per costruire una narrativa pubblica e temporizzata della pressione sul bersaglio.
Per i defender questo significa integrare nei playbook di risposta non solo scenari di cifratura massiva, ma anche casi in cui l’intero impatto è giocato sulla fuga di dati: monitoraggio costante dei leak site, capacità di reagire rapidamente alle pubblicazioni parziali e piani di comunicazione e notifica pensati per gestire la progressione da “1% pubblicato” alla minaccia di esposizione totale.
L'articolo MS13-089: il nuovo gruppo ransomware che ruba il nome a un vecchio bollettino Microsoft proviene da Red Hot Cyber.
DK 10x16 - Buon Natale
Una buona notizia per chiudere l'anno. Festeggiate, riposate, che nel 2026 avremo bisogno di rabbia nuova.
spreaker.com/episode/dk-10x16-…
Anlasslose Speicherung: Justizministerium veröffentlicht Gesetzentwurf zur Vorratsdatenspeicherung
netzpolitik.org/2025/anlasslos…
