The EDRi network adopted its 2025-2030 strategy at the General Assembly in Paris in May 2025. In this blogpost, EDRi’s Executive Director, Claire Fernandez, lays out the year-long journey and the work on many people it took to get us to this important milestone, and some highlights from our objectives and approach moving forward.

The post The EDRi network adopts its 2025-2030 Strategy appeared first on European Digital Rights (EDRi).

Un grave attacco informatico ha colpito l’Alto Adige nella giornata di martedì 24 giugno, provocando un blackout diffuso che ha interessato diversi servizi telematici, sia pubblici che privati.

Lo riporta il notiziario l’Adige.it, che Le prime interruzioni sono state registrate già nelle prime ore del mattino del 24 giugno e hanno coinvolto aziende, media locali, infrastrutture strategiche e cittadini comuni, impedendo l’accesso a numerosi portali e reti operative.

Nel corso del pomeriggio, il presidente della Provincia autonoma di Bolzano, Arno Kompatscher, ha confermato che il malfunzionamento è stato causato da un attacco informatico. L’intrusione ha compromesso alcuni sistemi della pubblica amministrazione e ha reso temporaneamente inaccessibili vari servizi digitali, scatenando immediatamente l’allerta nelle istituzioni locali.

Tra i settori più colpiti figurano i sistemi telefonici, o parti di essi, del Centro provinciale per le informazioni sul traffico, della Centrale unica di emergenza, della centrale del Corpo permanente dei vigili del fuoco e del Servizio radio provinciale sono attualmente soggetti a disfunzioni tecniche.

È stata avviata un’indagine per chiarire le dinamiche dell’attacco informatico che ha colpito la provincia. Le prime ricostruzioni fanno pensare a un’azione a scopo estorsivo: la stessa amministrazione ha confermato che è stata avanzata una richiesta economica alle strutture coinvolte, specificando però che non verrà intrapresa alcuna trattativa con gli autori dell’attacco.

Durante un incontro con i referenti dei settori colpiti dal blocco digitale, le autorità locali hanno comunicato che l’origine del problema è stata identificata e contenuta tempestivamente, limitando così danni più gravi. È stato inoltre precisato che non vi è stata alcuna compromissione dei dati personali dei cittadini e che i numeri per le emergenze restano pienamente funzionanti.

Al momento dal monitoraggio delle underground criminali, ancora non emergono segnali di compromissione da parte di cyber gang ransomware.

L'articolo Cyberattacco in Alto Adige: blackout informatico paralizza servizi pubblici e privati proviene da il blog della sicurezza informatica.

Gli aggressori stanno sfruttando una vulnerabilità critica nell’escalation dei privilegi nel tema WordPress Motors, che consente loro di hackerare gli account degli amministratori e assumere il controllo completo del sito di destinazione.

L’attività dannosa è stata scoperta da Wordfence, che il mese scorso ha segnalato una grave vulnerabilità, la CVE-2025-4322, che colpisce tutte le versioni del tema Motors fino alla 5.6.67. Questo tema, sviluppato da StylemixThemes, ha totalizzato 22.460 vendite su Envato Market ed è molto popolare tra i proprietari di siti web dedicati al settore automobilistico.

Il problema è legato al widget Registro di accesso e alla convalida errata dell’identità dell’utente durante l’aggiornamento di una password, che consente ad aggressori non autenticati di modificare le password dell’amministratore. Pertanto, per sfruttare il bug, un aggressore deve prima trovare l’URL in cui si trova il widget controllando /login-register, /account, /reset-password, /signin, ecc. utilizzando richieste POST speciali. Tali richieste contengono caratteri UTF-8 non validi nel valore hash_check, il che porta a confronti hash errati durante la reimpostazione di una password.

Il corpo del POST contiene il valore stm_new_password, che reimposta la password dell’utente in base agli ID che in genere appartengono agli amministratori del sito.

A maggio, gli sviluppatori di StylemixThemes hanno rilasciato la versione 5.6.68, che corregge CVE-2025-4322, ma molti utenti non hanno ancora installato gli aggiornamenti e potrebbero ora essere vulnerabili agli attacchi.

Gli analisti di Wordfence hanno segnalato che gli attacchi alla nuova vulnerabilità sono iniziati già il 20 maggio, appena un giorno dopo la divulgazione del problema. Attacchi più estesi sono iniziati dopo il 7 giugno 2025 e Wordfence afferma di aver già bloccato oltre 23.100 tentativi di hacking contro i suoi clienti.

Secondo gli esperti, le password utilizzate dagli aggressori negli attacchi includono:

• Prova prova123!@#;
• rzkkd$SP3znjrn;
• Curdo@Kurd12123;
• owm9cpXHAZTk;

Una volta ottenuto l’accesso, gli aggressori accedono alla dashboard di WordPress come amministratori e creano account amministrativi aggiuntivi per mettere piede sulla risorsa hackerata. Gli esperti scrivono che la comparsa improvvisa di tali account, unita al blocco degli account amministratore esistenti (le password non funzionano più), è un segno sicuro dello sfruttamento di CVE-2025-4322. Si consiglia agli utenti di Motors di aggiornare il tema il prima possibile.

L'articolo 22.000 siti a rischio: nuova vulnerabilità Motors WordPress consente l’hacking totale proviene da il blog della sicurezza informatica.

Gli sviluppatori del ransomware Qilin (da noi intervistati recentemente) hanno offerto ai loro partner l’aiuto e la consulenza di un team di avvocati, in modo da poter fare pressione sulle vittime e costringerle a pagare il riscatto. La pubblicità del nuovo servizio è stata notata dagli specialisti dell’azienda israeliana di sicurezza informatica Cybereason.

Secondo loro, nel pannello dei partner del ransomware è comparsa l’opzione “Chiama un avvocato”.

Si sostiene inoltre che il gruppo abbia ormai una squadra di giornalisti a tempo pieno in grado di collaborare con l’ufficio legale per preparare pubblicazioni volte ad aumentare la pressione sulle vittime.

Inoltre, Qilin ha recentemente aggiunto 1 petabyte di spazio su disco al suo pannello partner (in parte per uso personale dei partner e in parte per l’archiviazione dei dati delle vittime), la possibilità di distribuire spam tramite e-mail e telefono e strumenti per lanciare attacchi DDoS, registrati per la prima volta nell’aprile 2025.

Ricordiamo che il ransomware Qilin è apparso nell’agosto 2022 e inizialmente si chiamava Agenda, per poi cambiare nome un mese dopo. Secondo i ricercatori, solo nell’aprile 2025, il sito ransomware ha registrato 72 nuove vittime e, a maggio, gli esperti lo hanno collegato a 55 attacchi. Gli esperti hanno motivo di ritenere che alcuni partner di RansomHub siano passati a Qilin, il che ha contribuito all’aumento dell’attività malware negli ultimi mesi.

“Oltre a una presenza crescente su forum e tracker dedicati al ransomware, Qilin vanta un’infrastruttura tecnicamente avanzata. Offre payload scritti in Rust e C, loader con funzionalità di elusione avanzate e un pannello di partner che offre esecuzione in modalità provvisoria, propagazione in rete, pulizia dei log e strumenti per negoziazioni automatizzate”, scrivono gli analisti di Cybereason.

Per quanto riguarda la nuova funzionalità di chiamata dell’avvocato, questa potrebbe essere utilizzata per invitare un consulente legale a parlare con la vittima, il quale offrirà assistenza professionale su questioni quali:

• valutazione legale dei dati rubati dai partner di Qilin;
• un certificato attestante quali leggi e regolamenti specifici la vittima ha violato divulgando tali dati;
• una stima dei potenziali costi associati alla risoluzione dell’incidente se la vittima decide di non pagare il riscatto.

Si ritiene che gli avvocati possano anche intervenire nel processo di negoziazione e dialogare direttamente con la vittima, spiegando all’azienda danneggiata che il rifiuto di pagare potrebbe comportare perdite ancora maggiori. Come sottolineano i ricercatori di Tripwire, è probabile che queste affermazioni non siano altro che una trovata di marketing.

“Non fatevi illusioni. Il loro obiettivo è attrarre più partner, aumentare la percentuale di attacchi di riscatto riusciti e cercare di convincere le vittime di avere a che fare con criminali esperti”, affermano gli esperti. Tuttavia, Va da se che Qilin sta diventando uno dei gruppi di ransomware dominanti nel ransomware-as-a-service (RaaS). I suoi ex concorrenti, tra cui LockBit, ALPHV, Everest e RansomHub (che si vociferava fosse stata acquisita da DragonForce), hanno tutti perso influenza negli ultimi anni per vari motivi, in particolare a causa delle forze dell’ordine.

L'articolo Studio legale Qilin & Associati: Il Ransomware assume Avvocati e lancia il “pacchetto intimidazione” proviene da il blog della sicurezza informatica.

As cars increasingly become computers on wheels, the attack surface for digital malfeasance increases. [PCAutomotive] has shared its exploit for turning the 2020 Nissan Leaf into 1600 kg RC car. [PDF via Electrek]

Starting with some scavenged infotainment systems and wiring harnesses, the group built test benches able to tear into vulnerabilities in the system. An exploit was found in the infotainment system’s Bluetooth implementation, and they used this to gain access to the rest of the system. By jamming the 2.4 GHz spectrum, the attacker can nudge the driver to open the Bluetooth connection menu on the vehicle to see why their phone isn’t connecting. If this menu is open, pairing can be completed without further user interaction.

Once the attacker gains access, they can control many vehicle functions, such as steering, braking, windshield wipers, and mirrors. It also allows remote monitoring of the vehicle through GPS and recording audio in the cabin. The vulnerabilities were all disclosed to Nissan before public release, so be sure to keep your infotainment system up-to-date!

If this feels familiar, we featured a similar hack on Tesla infotainment systems. If you’d like to hack your Leaf for the better, we’ve also covered how to fix some of the vehicle’s charging flaws, but we can’t help you with the loss of app support for early models.

youtube.com/embed/56VreoKtStw?…

hackaday.com/2025/06/24/hack-t…

All’inizio del 2025, i ricercatori di Kaspersky Lab hanno scoperto il trojan SparkCat nell’Apple App Store e nel Google Play Store, progettato per rubare dati. Ora, gli esperti segnalano che un nuovo malware si è infiltrato negli app store. Si ritiene che prenda di mira anche le criptovalute delle vittime ed è correlato a SparkCat, da cui il nome SparkKitty.

Il nuovo malware viene distribuito tramite App Store, Google Play e siti fraudolenti e di terze parti, come parte di una versione non ufficiale e modificata di TikTok e sotto le mentite spoglie di app legate alle criptovalute e al gioco d’azzardo. Il trojan trasmette agli aggressori immagini dalla galleria del telefono infetto e informazioni sul dispositivo. Gli esperti suggeriscono che l’obiettivo principale degli aggressori sia rubare criptovalute ai residenti del Sud-est asiatico e della Cina.

In iOS, il payload dannoso si presenta sotto forma di framework (per lo più mascherati da AFNetworking.framework o Alamofire.framework) e librerie offuscate che imitano libswiftDarwin.dylib, oppure direttamente incorporate nelle applicazioni. Sull’App Store, SparkKitty si spacciava per un’app per monitorare i tassi di cambio delle criptovalute e ricevere segnali di trading. Su pagine false che imitavano l’app store ufficiale per iPhone, il malware veniva distribuito come parte di modifiche a TikTok e di app legate al gioco d’azzardo.

“Uno dei vettori di distribuzione del Trojan si è rivelato essere costituito da siti web falsi, attraverso i quali gli aggressori hanno cercato di infettare gli iPhone delle vittime. iOS offre diversi metodi legittimi per installare programmi non provenienti dall’App Store. In questa campagna dannosa, gli aggressori ne hanno utilizzato uno: strumenti speciali per la distribuzione di applicazioni aziendali”, spiega Sergey Puzan, esperto di sicurezza informatica di Kaspersky Lab. “È importante notare che nella versione infetta di TikTok, al momento dell’autorizzazione, il malware, oltre a rubare foto dalla galleria dello smartphone, ha inserito link a uno store sospetto nella finestra del profilo dell’utente, che accetta solo pagamenti in criptovaluta.”

L’azienda ha spiegato che Apple fornisce agli sviluppatori che partecipano al programma Apple Developer i cosiddetti profili di provisioning. Questi consentono di scaricare certificati per sviluppatori sul dispositivo dell’utente, che iOS utilizza per verificare la firma digitale dell’applicazione e determinare se può essere avviata.

Oltre al certificato stesso, i profili di provisioning contengono la data di scadenza, le autorizzazioni concesse all’applicazione e altri dati sullo sviluppatore e sul programma. Quando un profilo viene installato su un dispositivo, il certificato diventa attendibile e l’applicazione da esso firmata diventa disponibile per l’avvio.

Sebbene la partecipazione al programma Apple Developer sia a pagamento e richieda la verifica dello sviluppatore da parte di Apple, tali profili Enterprise vengono spesso utilizzati sia dagli sviluppatori di programmi non adatti alla distribuzione sull’App Store (ad esempio, casinò online, crack, cheat o modifiche piratate di programmi popolari) sia dagli autori di malware.

Nel caso della versione Android, il malware esiste in varianti scritte in Java e Kotlin, con la versione Kotlin che è un modulo Xposed dannoso. Gli aggressori hanno attaccato gli utenti sia su risorse non ufficiali che su Google Play, spacciando il malware per vari servizi di criptovaluta. Ad esempio, solo una delle applicazioni infette, un’app di messaggistica con funzione di scambio di criptovalute, è stata scaricata dallo store ufficiale più di 10.000 volte.

I ricercatori ritengono che questa campagna dannosa sia attiva almeno da febbraio 2024. Si segnala che il malware rilevato è stato ora rimosso dal Google Play Store. Secondo gli esperti, i seguenti segnali indicano una connessione tra SparkKitty e SparkCat:

• Alcune app Android infette da SparkKitty sono state create utilizzando lo stesso framework utilizzato per creare app infette da SparkCat;
• Entrambe le campagne hanno coinvolto le stesse app Android infette;
• I framework iOS dannosi conservavano simboli di debug, tra cui i percorsi nel file system degli aggressori in cui si trovavano i progetti da loro creati, e questi percorsi corrispondono a quelli trovati in SparkCat.

I ricercatori avvertono che SparkKitty non è molto selettivo nel selezionare le foto dalla galleria della vittima, ma l’obiettivo principale degli aggressori è trovare screenshot con frasi di recupero per l’accesso ai wallet di criptovalute. Inoltre, le immagini rubate potrebbero contenere altri dati sensibili.

L'articolo SparkKitty: Il Malware che Ruba Criptovalute da iPhone e Android travestito da TikTok proviene da il blog della sicurezza informatica.

Era ora, ERA ORA!

Non capisco perché ci abbiano messo tanto.

E comunque da questa iniziativa resta fuori per lo meno la Toscana.

EDIT: come segnalato da Baylee, al boicottaggio partecipano anche Unicoop Firenze e Unicoop Tirreno.

#bds

ilpost.it/2025/06/24/coop-supe…

Are you passionate about European policy and security? Don’t miss the chance to participate in the Pirate Academy, running from September to November 2025. Thirty selected candidates will take part in online sessions focused on key challenges and problem areas, where they will gain a deeper understanding of how European institutions function. Ten of them will have the unique opportunity to experience the process firsthand in Brussels in winter 2025, alongside MEP Markéta Gregorová. The entire course is hosted by MEP Gregorová and her political group, the Greens/EFA.

Curious about how complex problems are negotiated in the European Parliament? Then keep reading. The workings of the European institutions are intricate, designed to ensure democratic processes and representation for all member states. The issues they tackle often have global implications. Even Members of the European Parliament (MEPs) sometimes struggle to stay on top of all the legislation and world developments — that’s why they rely on policy advisors. Through the Pirate Academy, you’ll have the chance to step into this role and experience it for yourself.

To negotiate European legislation effectively, it’s essential to understand how the European Commission and the European Parliament function — including who holds which responsibilities and powers. This is one of the core topics covered in detail during the Online Pirate Academy. Want to get a behind-the-scenes look at how legislation is negotiated? Wondering if you need any special superpowers to do it? If so, you’re in the right place — don’t miss this opportunity. Apply for the Online Pirate Academy here.

In today’s turbulent times, we face many crises that shape global politics. The European Parliament plays a key role in addressing the most pressing issues of our time — from the war in Ukraine and climate change to EU–China relations and more. By joining the Pirate Academy, you’ll gain insight into what it means to influence and shape policy — and the consequences that come with it. The course combines an in-depth look at the daily operations of the European Parliament with hands-on, experiential learning.
The post European Pirate Academy: learn everything about negotiating EU legislation first appeared on European Pirate Party.

On 24 June 2025, EDRi, Access Now and other civil society organisations sent a second letter to the European Commission, urging it to reassess Israel’s data protection adequacy status under the GDPR. The letter outlines six categories of concerns linking Israel’s data practices to escalating human rights violations in Gaza and the West Bank.

The post Data flows and digital repression: Civil society urges EU to reassess Israel’s adequacy status appeared first on European Digital Rights (EDRi).