Un nuovo annuncio comparso in un forum underground solleva preoccupazioni sulla sicurezza dei dati dei cittadini italiani. L’utente con nickname krektti ha messo in vendita quello che descrive come l’accesso e i database del Comune di Firenze, per la cifra di 1.500 dollari.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
I dettagli del post
Nel messaggio pubblicato poche ore fa, il venditore specifica:
Target: Comune di Firenze (comune.fi.it)
Prezzo richiesto: 1.500 dollari
Contatto: messaggi privati o session key
Contenuto presunto: campioni di dati strutturati che richiamerebbero un archivio anagrafico, con campi come idVia, idResidente, codice fiscale, nome, cognome, data di nascita, numero civico e codice famiglia.
Se i dati fossero autentici, sarebbero altamente sensibili e appetibili per attività criminali come frodi, furti d’identità o attacchi di social engineering mirati.
La reputazione del threat actor
Nel contesto dei forum underground, la reputazione è un elemento fondamentale che determina la credibilità e l’affidabilità di un venditore. L’utente krektti, autore del post, risulta avere un livello di reputazione elevato all’interno della piattaforma (81 punti) e lo status di “GOD”, segno che ha già effettuato numerose interazioni con successo nella community.
Questo non certifica automaticamente l’autenticità dei dati messi in vendita, ma rappresenta un segnale importante: in ambienti cybercriminali, una buona reputazione riduce il rischio per gli acquirenti di cadere in truffe e rende più probabile che l’autore sia realmente in possesso del materiale offerto. Di conseguenza, gli annunci di krektti vengono percepiti con maggiore serietà rispetto a quelli di venditori alle prime armi o con scarsa affidabilità.
Nessuna conferma ufficiale, ma un precedente
Al momento, non esistono comunicati stampa o note ufficiali da parte del Comune di Firenze o delle autorità competenti. Non è quindi possibile stabilire se si tratti di una reale violazione, di una frode (con dati falsi o riciclati da altre fonti) o di un tentativo di trarre profitto sfruttando l’effetto annuncio.
È interessante notare che lo stesso utente, solo nella giornata di ieri, aveva pubblicato un altro annuncio relativo al Comune di Canegrate, in provincia di Milano. Anche in quel caso sosteneva di aver ottenuto accesso ai sistemi e ai dati anagrafici. Questa sequenza di post fa sorgere spontanee alcune domande: perché concentrare l’attenzione sull’Italia?
Il comportamento osservato richiama quello degli Initial Access Broker (IAB): attori che si specializzano nel penetrare reti e sistemi, per poi rivendere l’accesso o i dati a gruppi più organizzati, ad esempio operatori di ransomware.
In questo caso, krektti potrebbe non avere alcun interesse diretto a sfruttare i dati, ma solo a monetizzare la compromissione vendendo il “pass” a qualcun altro.
La presunta violazione al Comune di Firenze, insieme al precedente annuncio riguardante Canegrate, rafforza l’idea che l’Italia sia sempre più attenzionata nei mercati cybercriminali. Anche se non ci sono conferme ufficiali, la sola pubblicazione di questi annunci dovrebbe spingere enti locali e istituzioni a rafforzare i propri sistemi di difesa e ad avviare monitoraggi preventivi.
Il 9 settembre 2025 sono state individuate due vulnerabilità significative in Microsoft Office, per le quali sono state create patch dedicate; queste vulnerabilità, qualora sfruttate da malintenzionati, permettono l’esecuzione di codice dannoso sui sistemi coinvolti. Le vulnerabilità, identificate come CVE-2025-54910 e CVE-2025-54906, hanno sollevato preoccupazioni per la sicurezza degli utenti, poiché hanno interessato varie versioni della nota suite di produttività.
Considerando che Microsoft reputa poco probabile lo sfruttamento di queste vulnerabilità nello stato attuale, tuttavia, la possibilità di eseguire codice remoto richiede un intervento urgente da parte degli utenti e degli amministratori di sistema. La sicurezza degli utenti è a rischio a causa di tali vulnerabilità.
A causa di tali vulnerabilità, individuate come CVE-2025-54910 e CVE-2025-54906, la sicurezza degli utenti risulta essere a rischio, avendo esse interessato diverse versioni della popolare suite di produttività. Sebbene Microsoft ritenga poco probabile lo sfruttamento di queste vulnerabilità allo stato attuale, l’eventualità di eseguire codice remoto necessita di un intervento tempestivo da parte degli utenti e degli amministratori.
Le due vulnerabilità presentano differenze sia nei metodi di sfruttamento sia nella loro gravità, essendo una classificata come Critica e l’altra come Importante. La falla più severa, contraddistinta da CVE-2025-54910, risulta essere una vulnerabilità critica causata da un heap buffer overflow.
Questo tipo di vulnerabilità, catalogata come CWE-122, può consentire a un aggressore non autorizzato di eseguire codice arbitrario localmente su una macchina target. Un aspetto particolarmente pericoloso di questa vulnerabilità è che il riquadro di anteprima di Microsoft Office funge da vettore di attacco.
Ciò significa che un aggressore potrebbe potenzialmente attivare l’exploit senza alcuna interazione da parte dell’utente, se non quella di ricevere e visualizzare un file dannoso in una finestra di Explorer. La seconda vulnerabilità, CVE-2025-54906, è classificata come high e deriva da una condizione Use-After-Free, tracciata come CWE-416.
Questa falla consente anche l’esecuzione di codice remoto, ma il suo vettore di sfruttamento differisce significativamente dall’overflow basato su heap. Per sfruttare questa vulnerabilità, un aggressore deve creare un file dannoso e indurre l’utente ad aprirlo tramite ingegneria sociale.
A differenza dell’altra falla, il riquadro di anteprima non è un vettore di attacco per il CVE-2025-54906, il che significa che l’utente deve interagire attivamente con il contenuto dannoso. Questa necessità di interazione da parte dell’utente è una delle ragioni principali del suo livello di gravità inferiore rispetto alla vulnerabilità del riquadro di anteprima.
Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere queste vulnerabilità per la maggior parte dei software interessati. L’azienda consiglia ai clienti di applicare tutti gli aggiornamenti offerti per il software installato sui propri sistemi per garantire una protezione completa.
Le vulnerabilità individuate in Microsoft Office, CVE-2025-54910 e CVE-2025-54906, rappresentano una minaccia significativa per la sicurezza degli utenti, consentendo potenzialmente l’esecuzione di codice dannoso sui sistemi coinvolti. Sebbene Microsoft consideri poco probabile lo sfruttamento di tali vulnerabilità allo stato attuale, è fondamentale applicare tempestivamente le patch di sicurezza rilasciate per mitigare il rischio.
Microsoft ha recentemente pubblicato un avviso di sicurezza riguardante una nuova vulnerabilità che interessa i servizi Active Directory Domain Services (AD DS). La falla, identificata con il codice CVE-2025-21293, è classificata come una vulnerabilità di tipo Elevation of Privilege e, se sfruttata con successo, può consentire a un attaccante di ottenere i privilegi SYSTEM, ovvero il livello più alto di autorizzazione in ambiente Windows.
Si tratta di un problema estremamente rilevante perché i controller di dominio sono il cuore delle infrastrutture aziendali: controllano l’autenticazione, l’autorizzazione e la gestione centralizzata di utenti, gruppi, computer e policy di sicurezza. Un attacco riuscito contro un controller di dominio equivale, in molti casi, al controllo completo dell’intera rete aziendale.
Origine della vulnerabilità
Il bug deriva da controlli di accesso impropri (CWE-284) all’interno di AD DS. In pratica, alcune operazioni non vengono gestite correttamente dal meccanismo di sicurezza del servizio, permettendo a un utente autenticato di eseguire codice con privilegi più elevati del dovuto.
A differenza di altre vulnerabilità che permettono l’accesso remoto senza credenziali, in questo caso l’attaccante deve già disporre di credenziali valide. Queste possono essere ottenute tramite:
credential stuffing (riutilizzo di password compromesse);
exfiltrazione di hash NTLM/Kerberos tramite altre tecniche di attacco.
Una volta autenticato, l’attaccante può lanciare un’applicazione appositamente realizzata per sfruttare la falla ed eseguire codice arbitrario a livello SYSTEM.
Gravità e rischi concreti
Microsoft ha classificato la vulnerabilità come “Exploitation Less Likely”, indicando che non è banale da sfruttare. Tuttavia, il rischio rimane altissimo, perché:
Privilegi SYSTEM permettono di installare malware, rootkit o backdoor difficili da rilevare.
Un attaccante può creare nuovi account amministrativi con cui mantenere persistenza anche dopo eventuali remediation.
Un controller di dominio compromesso apre la strada a movimenti laterali all’interno della rete, facilitando il furto di dati, la distribuzione di ransomware o attacchi supply chain interni.
In scenari peggiori, l’intera forest di Active Directory può essere compromessa, invalidando l’integrità delle identità digitali aziendali.
È bene ricordare che, storicamente, la compromissione di Active Directory è stata uno degli obiettivi principali nei grandi attacchi informatici, proprio per il suo ruolo di “chiave di volta” nell’infrastruttura IT.
La vulnerabilità è emersa alla luce pubblica il 14 gennaio 2025, quando è stata segnalata per la prima volta; da allora Microsoft ha seguito il caso raccogliendo informazioni tecniche e valutando l’impatto. Nel corso dei mesi successivi i ricercatori e i team di sicurezza hanno analizzato il comportamento del bug, e il quadro si è fatto più chiaro solo con l’aggiornamento ufficiale del 9 settembre 2025, in cui Microsoft ha fornito dettagli aggiuntivi e indicazioni operative per le contromisure.
Ad oggi non ci sono prove concrete di exploit pubblici né segnalazioni verificate di attacchi in corso che sfruttino la falla “in the wild”. Questo non significa però che il problema sia trascurabile: il fatto che la vulnerabilità richieda credenziali valide per essere sfruttata riduce la probabilità di attacchi opportunistici, ma non impedisce che attori mirati — gruppi APT o criminali informatici ben organizzati — possano studiarla a fondo per sviluppare un exploit affidabile.
Per le organizzazioni il messaggio è quindi duplice: da un lato c’è un elemento rassicurante — nessuna ondata di sfruttamenti noti al pubblico — dall’altro c’è la necessità di non abbassare la guardia. La sequenza temporale degli eventi mostra che la vulnerabilità è stata presa sul serio e aggiornata con informazioni tecniche, ma rimane responsabilità dei team IT applicare le patch e rafforzare i controlli per evitare che la situazione evolva rapidamente in una minaccia attiva.
Mitigazioni e raccomandazioni di sicurezza
Microsoft ha rilasciato aggiornamenti di sicurezza specifici e invita le organizzazioni a patchare immediatamente i controller di dominio. Oltre alla correzione diretta, è opportuno rafforzare la postura di sicurezza generale:
Aggiornamenti regolari: mantenere costantemente aggiornati sistema operativo, AD DS e tutti i componenti critici.
Principio del minimo privilegio: limitare i permessi degli utenti e ridurre il numero di account privilegiati.
Segmentazione di rete: isolare i controller di dominio in subnet protette e limitarne l’accesso.
Monitoraggio avanzato: utilizzare SIEM o strumenti di auditing per rilevare comportamenti sospetti (es. creazione improvvisa di account admin).
Controlli periodici di sicurezza: test di penetrazione e valutazioni di configurazione Active Directory per identificare eventuali debolezze.
Conclusioni
La vulnerabilità CVE-2025-21293 è un campanello d’allarme per tutte le organizzazioni che utilizzano Active Directory come sistema di gestione delle identità. Anche se Microsoft valuta la probabilità di sfruttamento come bassa, l’impatto potenziale è devastante.
In un contesto in cui sempre più attacchi mirano alla compromissione delle infrastrutture di identità, ignorare o rimandare l’applicazione delle patch può esporre l’azienda a rischi enormi. La protezione dei controller di dominio non è solo una misura tecnica, ma una priorità strategica per garantire la sicurezza complessiva dell’organizzazione.
Google ha annunciato che integrerà la tecnologia C2PA Content Credentials nell’app fotocamera Pixel 10 e in Google Foto per aiutare gli utenti a distinguere le immagini autentiche da quelle create o modificate dall’intelligenza artificiale.
Google ha osservato che il problema dell’etichettatura dei contenuti sintetici è diventato molto più acuto negli ultimi anni, poiché gli approcci tradizionali sono praticamente inefficaci e lasciano spazio a diverse interpretazioni e distorsioni delle informazioni.
Sugli ultimi smartphone Pixel 10, ogni foto JPEG riceverà automaticamente le Credenziali di Contenuto, che contengono informazioni su come è stata creata la foto.
“Le credenziali di contenuto contengono un ricco set di informazioni su come sono stati creati i file multimediali (immagini, video o file audio), protetti dalla stessa tecnologia di firma digitale che ha garantito la sicurezza delle transazioni online e delle app mobili per decenni”, spiega Google. “Questo offre agli utenti la possibilità di identificare i contenuti creati (o modificati) dall’intelligenza artificiale, promuovendo una maggiore trasparenza e fiducia nell’intelligenza artificiale generativa”.
Quindi, se un utente modifica l’immagine originale con o senza intelligenza artificiale, Google Foto aggiungerà le nuove informazioni alle Credenziali dei contenuti, conservando una cronologia di tutte le modifiche.
L’azienda scrive che il sistema funziona in modo autonomo, è completamente protetto da interferenze esterne e non minaccia l’anonimato degli utenti, pur mantenendo la possibilità di verifica. Google descrive diversi livelli di sicurezza e integrità integrati nelle Credenziali dei contenuti, progettati per rendere il sistema più sicuro e protetto da accessi non autorizzati:
una firma crittografica che invalida la firma digitale quando i metadati vengono modificati;
Archiviazione delle chiavi a prova di manomissione: tutte le chiavi crittografiche vengono generate e archiviate nell’Android StrongBox all’interno di Titan M2;
Android Key Attestation, che consente alle CA C2PA di Google di verificare l’autenticità sia dell’hardware sia dell’app che richiede i dati;
Chiavi monouso per ogni immagine: ogni foto è firmata con una chiave crittografica univoca che non viene mai riutilizzata, il che dovrebbe preservare la privacy e l’anonimato degli utenti;
timestamp affidabili, supportati da un orologio interno sicuro del dispositivo gestito da Tensor, che consente ai dispositivi Pixel di creare timestamp verificabili anche quando sono offline.
Per ora, il sistema Content Credentials sarà disponibile solo sui dispositivi Pixel 10, ma i rappresentanti di Google scrivono che intendono estenderlo ad altri dispositivi Android in futuro. Tuttavia, l’azienda non ha ancora indicato date o orari precisi.
L’azienda invita tutti gli stakeholder del settore ad andare oltre la semplificazione dell’etichettatura dei contenuti basata sull’intelligenza artificiale e ad adottare le credenziali di contenuto, sottolineando che la lotta alla disinformazione e ai deepfake richiede l’adozione su larga scala di tecnologie di verifica dei contenuti in tutto il settore.
“Alla fine della vita non saremo giudicati in base alla circoscrizione di appartenenza, agli incarichi ricoperti o ai titoli accademici, ma su quanto abbiamo amato”.
Due documentaristi kenioti sono stati posti sotto sorveglianza dai servizi di sicurezza per il loro lavoro su un film sulle proteste giovanili. I ricercatori di informatica forense affermano che i loro telefoni sono stati infettati dallo spyware FlexiSPY mentre erano sotto custodia della polizia.
Brian Adagala e Nicholas Wambugu sono stati arrestati il 2 maggio con l’accusa di aver diffuso false informazioni, ma sono stati rilasciati il giorno successivo. Tuttavia, i loro dispositivi mobili sono rimasti in possesso delle autorità e sono stati restituiti solo il 10 luglio. Secondo l’avvocato Jan Mutiso, è stato durante questo periodo che il programma di sorveglianza è stato installato sui dispositivi.
L’analisi è stata condotta dagli specialisti di Citizen Lab, che hanno confermato l’infezione. Si sottolinea che FlexiSPY è disponibile sul mercato commerciale ed è più facile da rilevare rispetto ai costosi strumenti utilizzati dagli stati. Tuttavia, il programma è paragonabile in termini di capacità: può intercettare chiamate, tracciare la posizione, attivare un microfono per intercettazioni, copiare foto, e-mail e corrispondenza.
Gli sviluppatori di FlexiSPY lo pubblicizzano come uno strumento che consente a genitori e datori di lavoro di “sapere tutto” sulle attività del proprietario di un dispositivo. Tuttavia, lo stesso prodotto è già stato oggetto di importanti indagini. In particolare, è stato tramite FlexiSPY che il narcotrafficante messicano Joaquin Guzman, noto come El Chapo, ha spiato le sue fidanzate, e la corrispondenza tramite l’app ha successivamente aiutato l’FBI a costruire un caso contro di lui.
Adagala e Wambugu non sono mai stati accusati di alcun reato, ma avvocati e attivisti per i diritti umani considerano il loro arresto e la successiva interferenza con i loro dispositivi personali come una pressione sulla libertà di parola. Il loro film, “The People Shall”, racconta la lotta dei giovani kenioti per un cambiamento democratico, che chiaramente non è piaciuta alle autorità, in un contesto di crescente controllo sull’opposizione e sulle proteste.
L’ambasciata keniota ha rifiutato di commentare immediatamente le conclusioni degli esperti. Nel frattempo, gli stessi registi definiscono assurdo quanto sta accadendo: lo Stato, affermano, sta utilizzando strumenti che in precedenza erano usati dai boss criminali, solo che ora li sta usando contro giornalisti e registi.
“Costruire ponti, di cercare il dialogo, anche laddove i cristiani sono una minoranza, con autentico rispetto per le persone di altre tradizioni religiose, soprattutto attraverso la testimonianza dell’autentico amore e della misericordia cristiana, p…
Leone XIV: ai nuovi vescovi, “valorizzare i laici”, “la pace è una sfida per tutti”, “comportamenti inappropriati del clero non possono essere messi in un cassetto”
“Non bastano le risposte pronte, apprese 25 anni fa in seminario”. Lo ha affermato il Papa, al termine del suo discorso ai vescovi di nuova nomina nell’Aula del Sinodo, la mattina di ieri.
@Notizie dall'Italia e dal mondo Cresce il bilancio della rivolta in Nepal. Dietro le proteste la disillusione per le riforme mancate e l'indignazione per la corruzione e il nepotismo. Ma sul paese pesano anche nostalgie monarchiche e la competizione tra Pechino e New Delhi
è successo anche in ucraina. si inizia sempre dalle esercitazioni al confine. credo serve mostrare polso. mai avuto dubbi che putin intendesse allargarsi in europa.
@Privacy Pride Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/espropri… Il Garante Privacy, con il nobile intento di salvare i minori dai mali del mondo, annuncia di volersi sostituire alle famiglie, privandole della responsabilità
Éric Chevillard – Santo cielo freezonemagazine.com/news/eric… In libreria dal 19 Settembre 2025 Éric Chevillard torna in Italia con il romanzo Santo cielo arricchito dalla prefazione inedita di Paolo Di Paolo. Proprio così: l’ora dei verdetti, il romanzo delle grandi rivelazioni è arrivato. Albert Moindre si trova nell’aldilà, dopo essere stato travolto da un camioncino carico di datteri e olive […] L'articolo Éric Chevillard – Santo cielo proviene da FR
When Will They Ever Learn? – A Story of U.S. Folk Music 1963-1969 freezonemagazine.com/articoli/… Ci sono raccolte che assolvono alla funzione di catalogo, preziose ma in fondo statiche. E poi ci sono operazioni come When Will They Ever Learn?, poderoso cofanetto di quattro CD pubblicato dalla Strawberry (ramo della Cherry Red Records), che non si limitano a mettere ordine tra canzoni celebri e brani dimenticati, ma
Venerdì 12, Sabato 13 e domenica 14 torniamo nelle piazze di Albano Laziale e Pavona con la raccolta firme per cancellare i poteri speciali grazie ai quali Gualtieri gioca la partita con un mazzo di carte truccato. Contro l'abuso di potere legalizzato puoi metterci la firma. Nelle locandine trovi dove e quando firmare. Massima diffusione 💪🏼
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁) Prende finalmente corpo la jv tra il gruppo Vw e l'americana Rivian: la tecnologia della startup dei furgoni elettrici (scaricata da Ford e Amazon) sarà sfruttata inizialmente nella city car da 20mila euro ID.1 e per due modelli
Does Silksong Seem Unreasonably Hard? You Probably Took a Wrong Turn
There is an aggrieved cry reverberating through the places on the internet where gamers gather. To hear them tell it, Hollow Knight: Silksong, the sequel to the stone-cold classic 2017 platformer, is too damned hard. There’s a particular jumping puzzle involving spikes and red flowers that many are struggling with and they’re filming their frustration and putting it up on the internet, showing their ass for everyone to see. playlist.megaphone.fm?p=TBIEA2… Even 404 Media’s own Joseph Cox hit these red flowers and had the temerity to declare Silksong a “bad game” that he was “disappointed” in given his love for the original Hollow Knight. youtube.com/embed/3yxR6H_Zh0M?…youtube.com/embed/GD8ZyYE1K7k?…youtube.com/embed/ZsmxOMijLtE?… Couldn't be me.
I, too, got to the area just outside Hunter’s March in Silksong where the horrible red flowers bloom. Unlike others, however, my gamer instincts kicked in. I knew what to do. “This is the Dark Souls Catacombs situation all over again,” I said to myself. Then I turned around and came back later.
And that has made all the difference.
In the original Dark Souls, once players clear the opening area they come to Firelink Shrine. From there they can go into Undead Burg, the preferred starting path, or descend into The Catacombs where horrifying undying skeletons block the entrance to a cave. One will open the game up before you, the other will kill new players dead. A lot of Dark Souls players have raged and quit the game over the years because they went into The Catacombs instead of the Undead Burg.
Like Dark Souls, Silksong has an open-ish world where portions of the map are hardlocked by items and soft locked by player skill checks. One of the entrances into the flower laden Hunter’s March is in an early game area blocked by a mini-boss fight with a burly ant. The first time I fought the ant, it killed me over and over again and I took that as a sign I should go elsewhere.
High skilled players can kill the ant, but it’s much easier after you’ve gotten some basic items and abilities. I had several other paths I could take to progress the game, so I marked the ant’s location and moved on.
As I explored more of Silksong, I acquired several powerups that trivialized the fight with the ant and made it easy to navigate the flower jumping puzzles behind him. The first is Swift Step, a dash ability, which is in Deep Docks in the south-eastern portion of the map. The second is the Wanderer’s Crest, which is near the start of the game behind a locked door you get the key for in Silksong’s first town.
The dash allowed me to adjust my horizontal position in the air, but it’s the Wanderer’s Crest that made the flowers easy to navigate. The red flowers are littered throughout Hunter’s March and players have to hit them with a down attack to get a boosted jump and cross pits of spikes. By default, Hornet—the player character—down attacks at a 45 degree angle. The Wanderer’s Crest allows you to attack directly below you and makes the puzzles much easier to navigate.
Cox, bless his heart, hit the burly red ant miniboss and brute forced his way past. Then, like so many other desperate gamers, he proceeded to attempt to navigate the red flower jumping puzzles without the right power ups. He had no Swift Step. He had no Wanderer’s Crest. And thus, he raged.
He’s not alone. Watching the videos of jumping puzzles online I noticed that a lot of the players didn’t seem to have the dash or the downward attack.
Games communicate to players in different ways and gamers often complain about annoying an obvious signposting like big splashes of yellow paint. But when a truly amazing game comes along that tries to gently steer the player with burly ants and difficult puzzles, they don’t appreciate it and they don’t listen. If you’re really stuck in Silksong, try going somewhere else.
Ma se c'è Friendica che ti permette di scrivere post lunghi, perché c'è tanta gente che apre un account su Mastodon e poi per scrivere un post lungo deve commentarsi 3-4 volte da sola per farcelo entrare tutto?
Voglio dire... hai fatto 30 andandotene da Facebook, a quel punto puoi fare 31 e scegliere un'istanza più adatta a te.
può anche darsi che non sappiano dell'esistenza di Friendica. Il mio primo account federato aveva il limite di 500 caratteri (che poi per quello che scrivo sono fin troppi... Per il resto ho il blog)
Charlie Kirk Was Not Practicing Politics the Right Way
Thursday morning, Ezra Klein at the New York Timespublished a column titled “Charlie Kirk Was Practicing Politics the Right Way.” Klein’s general thesis is that Kirk was willing to talk to anyone, regardless of their beliefs, as evidenced by what he was doing while he was shot, which was debating people on college campuses. Klein is not alone in this take; the overwhelming sentiment from America’s largest media institutions in the immediate aftermath of his death has been to paint Kirk as a mainstream political commentator, someone whose politics liberals and leftists may not agree with but someone who was open to dialogue and who espoused the virtues of free speech.
“You can dislike much of what Kirk believed and the following statement is still true: Kirk was practicing politics in exactly the right way. He was showing up to campuses and talking with anyone who would talk to him,” Klein wrote. “He was one of the era’s most effective practitioners of persuasion. When the left thought its hold on the hearts and minds of college students was nearly absolute, Kirk showed up again and again to break it.”
“I envied what he built. A taste for disagreement is a virtue in a democracy. Liberalism could use more of his moxie and fearlessness,” Klein continued.
Kirk is being posthumously celebrated by much of the mainstream press as a noble sparring partner for center-left politicians and pundits. Meanwhile, the very real, very negative, and sometimes violent impacts of his rhetoric and his political projects are being glossed over or ignored entirely. In the New York Times, Kirk was an “energetic” voice who was “critical of gay and transgender rights,” but few of the national pundits have encouraged people to actually go read what Kirk tweeted or listen to what he said on his podcast to millions and millions of people. “Whatever you think of Kirk (I had many disagreements with him, and he with me), when he died he was doing exactly what we ask people to do on campus: Show up. Debate. Talk. Engage peacefully, even when emotions run high,” David French wrote in the Times. “In fact, that’s how he made his name, in debate after debate on campus after campus.”
This does not mean Kirk deserved to die or that political violence is ever justified. What happened to Kirk is horrifying, and we fear deeply for whatever will happen next. But it is undeniable that Kirk was not just a part of the extremely tense, very dangerous national dialogue, he was an accelerationist force whose work to dehumanize LGBTQ+ people and threaten the free speech of professors, teachers, and school board members around the country has directly put the livelihoods and physical safety of many people in danger. We do no one any favors by ignoring this, even in the immediate aftermath of an assassination like this.
Kirk claimed that his Turning Point USA sent “80+ buses full of patriots” to the January 6 insurrection. Turning Point USA has also run a “Professor Watchlist,” “School Board Watchlist,” and “Campus Reform” for nearly a decade.
“America’s radical education system has taken a devastating toll on our children,” Kirk said in an intro video posted on these projects’ websites. “From sexualized material in textbooks to teaching CRT and implementing the 1619 Project doctrine, the radical leftist agenda will not stop … The School Board Watch List exposes school districts that host drag queen story hour, teach courses on transgenderism, and implement unsafe gender neutral bathroom policies. The Professor Watch List uncovers the most radical left-wing professors from universities that are known to suppress conservative voices and advance the progressive agenda.”
These websites have been directly tied to harassment and threats against professors and school board members all over the country. Professor Watchlist lists hundreds of professors around the country, many of them Black or trans, and their perceived radical agendas, which include things like supporting gun control, “socialism,” “Antifa,” “abortion,” and acknowledging that trans people exist and racism exists. Trans professors are misgendered on the website, and numerous people who have been listed on it have publicly spoken about receiving death threats and being harassed after being listed on the site.
One professor on the watchlist who 404 Media is granting anonymity for his safety said once he was added to the list, he started receiving anonymous letters in his campus mailbox. “‘You're everything wrong with colleges,’ ‘watch your step, we're watching you’ kind of stuff,” he said, “One anonymous DM on Twitter had a picture of my house and driveway, which was chilling.” His president and provost also received emails attempting to discredit him with “all the allegedly communist and subversive stuff I was up to,” he said. “It was all certainly concerning, but compared to colleagues who are people of color and/or women, I feel like the volume was smaller for me. But it was certainly not a great feeling to experience that stuff. That watchlist fucked up careers and ruined lives.”
The American Association of University Professors said in an open letter in 2017 that Professor Watchlist “lists names of professors with their institutional affiliations and photographs, thereby making it easy for would-be stalkers and cyberbullies to target them. Individual faculty members who have been included on such lists or singled out elsewhere have been subject to threats of physical violence, including sexual assault, through hundreds of e-mails, calls, and social media postings. Such threatening messages are likely to stifle the free expression of the targeted faculty member; further, the publicity that such cases attract can cause others to self-censor so as to avoid being subjected to similar treatment.” Campus free speech rights group FIRE found that censorship and punishment of professors skyrocketed between 2020 and 2023, in part because of efforts from Professor Watchlist.
Many more professors who Turning Point USA added to their watchlist have spoken out in the past about how being targeted upended their lives, brought years of harassment down on them and their colleagues, and resulted in death threats against them and their loved ones.
At Arizona State University, a professor on the watchlist was assaulted by two people from Turning Point USA in 2023.
“Earlier this year, I wrote to Turning Point USA to request that it remove ASU professors from its Professor Watchlist. I did not receive a response,” university president Michael Crow wrote in a statement. “Instead, the incident we’ve all now witnessed on the video shows Turning Point’s refusal to stop dangerous practices that result in both physical and mental harm to ASU faculty members, which they then apparently exploit for fundraising, social media clicks and financial gain.” Crow said the Professor Watchlist resulted in “antisemitic, anti-LGBTQ+ and misogynistic attacks on ASU faculty with whom Turning Point USA and its followers disagree,” and called the organization’s tactics “anti-democratic, anti-free speech and completely contrary” to the spirit of scholarship.
Kirk’s death is a horrifying moment in our current American nightmare. Kirk’s actions and rhetoric do not justify what happened to him because they cannot be justified. But Kirk was not merely someone who showed up to college campuses and listened. It should not be controversial to plainly state some of the impact of his work.
Arizona State Police released footage of an incident between an ASU English professor, a reporter and cameraman from Turning Point USA that happened on Oct. 11. University president Dr. Michael Crow released a statement calling the men "cowards."
Liberi dai veleni di Roma ha ispirato questo pezzo straordinario che accompagnerà la nostra lotta contro l'inceneritore. SantaPalomba sarà il faro contro la tenebra inceneritorista. SantaPalomba sono donne e uomini liberi dai veleni di Roma. SantaPalomba non si piega!
The Software Engineers Paid to Fix Vibe Coded Messes
Freelance developers and entire companies are making a business out of fixing shoddy vibe coded software.
I first noticed this trend in the form of a meme that was circulating on LinkedIn, sharing a screenshot of several profiles who advertised themselves as “vibe coding cleanup specialists.” I couldn’t confirm if the accounts in that screenshot were genuinely making an income by fixing vibe coded software, but the meme gained traction because of the inherent irony in the existence of such a job existing.
The alleged benefit of vibe coding, which refers to the practice of building software with AI-coding tools without much attention to the underlying code, is that it allows anyone to build a piece of software very quickly and easily. As we’ve previously reported, in reality, vibe coded projects could result in security issues or a recipe app that generates recipes for “Cyanide Ice Cream.” If the resulting software is so poor you need to hire a human specialist software engineer to come in and rewrite the vibe coded software, it defeats the entire purpose.
LinkedIn memes aside, people are in fact making money fixing vibe coded messes.
“I've been offering vibe coding fixer services for about two years now, starting in late 2023. Currently, I work with around 15-20 clients regularly, with additional one-off projects throughout the year,” Hamid Siddiqi, who offers to “review, fix your vibe code” on Fiverr, told me in an email. “I started fixing vibe-coded projects because I noticed a growing number of developers and small teams struggling to refine AI-generated code that was functional but lacked the polish or ‘vibe’ needed to align with their vision. I saw an opportunity to bridge that gap, combining my coding expertise with an eye for aesthetic and user experience.”
Siddiqi said common issues he fixes in vibe coded projects include inconsistent UI/UX design in AI-generated frontends, poorly optimized code that impacts performance, misaligned branding elements, and features that function but feel clunky or unintuitive. He said he also often refines color schemes, animations, and layouts to better match the creator’s intended aesthetic.
Siddiqi is one of dozens of people on Fiverr who is now offering services specifically catering to people with shoddy vibe coded projects. Established software development companies like Ulam Labs, now say “we clean up after vibe coding. Literally.”
“Built something fast? Now it’s time to make it solid,” Ulam Labs says on its site. “We know how it goes. You had to move quickly, get that MVP [minimally viable product] out, and validate the idea. But now the tech debt is holding you back: no tests, shaky architecture, CI/CD [Continuous Integration and Continuous Delivery/Deployment] is a dream, and every change feels like defusing a bomb. That’s where we come in.”
Swatantra Sohni, who started VibeCodeFixers.com, a site for people with vibe coded projects who need help from experienced developers to fix or finish their projects, says that almost 300 experienced developers have posted their profiles to the site. He said so far VibeCodeFixers.com has only connected between 30-40 vibe code projects with fixers, but that he hasn’t done anything to promote the service and at the moment is focused on adding as many software developers to the platform as possible.
Sohni said that he’s been vibe coding himself since before Andrej Karpathy coined the term in February. He bought a bunch of vibe coding related domains, and realized a service like VibeCodeFixers.com was necessary based on how often he had to seek help from experts on his own vibe coding projects. In March, the site got a lot of attention on X and has been slowly adding people to the platform since.
Sohni also wrote a “Vibecoding Community Research Report” based on interviews with non-technical people who are vibe coding their projects that he shared with me. The report identified a lot of the same issues as Siddiqi, mainly that existing features tend to break when new ones are added.
“Most of these vibe coders, either they are product managers or they are sales guys, or they are small business owners, and they think that they can build something,” Sohni told me. “So for them it’s more for prototyping. Vibe coding is, at the moment, kind of like infancy. It's very handy to convey the prototype they want, but I don't think they are really intended to make it like a production grade app.”
Another big issue Sohni identified is “credit burn,” meaning the money vibe coders waste on AI usage fees in the final 10-20 percent stage of developing the app, when adding new features breaks existing features. In theory, it might be cheaper and more efficient for vibe coders to start over at that point, but Sohni said people get attached to their first project.
“What happens is that the first time they build the app, it's like they think that they can build the app with one prompt, and then the app breaks, and they burn the credit. I think they are very emotionally connected to the app, because this act of vibe coding involves you, your creativity.”
In theory it might be cheaper and more efficient for vibe coders to start over if the LLM starts hallucinating and creating problems, but Sohni that’s when people come to VibeCodeFixers.com. They want someone to fix the bugs in their app, not create a new one.
Sohni told me he thinks vibe coding is not going anywhere, but neither are human developers.
“I feel like the role [of human developers] would be slightly limited, but we will still need humans to keep this AI on the leash,” he said.
Viviamo in un’epoca in cui l’oro non luccica, il petrolio non si estrae e i diamanti non brillano: oggi la risorsa più preziosa è la nostra attenzione. Eh già, il bene più scarso del ventunesimo secolo non è una materia prima, ma la capacità di rimanere concentrati su qualcosa senza essere interrotti da notifiche, banner lampeggianti o l’ennesimo video di gattini su TikTok. Il concetto nasce da un’osservazione semplice: l’informazione è infinita, ma l’attenzione umana è limitata. Le piattaforme digitali, i media e le aziende competono tra loro per catturare e trattenere quei preziosi secondi in cui guardiamo uno schermo, leggiamo un titolo o ascoltiamo un contenuto. È come se la nostra mente fosse un’arena di gladiatori: da una parte Netflix, dall’altra Instagram, poi YouTube, Spotify e il notiziario online. Tutti combattono per strapparci anche solo cinque minuti del nostro tempo. Non è un mistero che i giganti del web non vendano soltanto prodotti o servizi: vendono il nostro tempo di attenzione a chi paga per raggiungerci, cioè gli inserzionisti. Più tempo passiamo incollati a una piattaforma, più pubblicità vediamo, più dati regaliamo. Il meccanismo è semplice e spietato. Non a caso i feed dei social non finiscono mai (hai mai provato a raggiungere “la fine di Facebook”? Buona fortuna). È progettato così: scorrere è più facile che fermarsi. Le piattaforme hanno studiato bene la psicologia. Ogni like, notifica o messaggio privato funziona come una piccola scarica di dopamina. Un mini premio che ci spinge a tornare ancora e poi ancora. In pratica, siamo diventati giocatori compulsivi di una slot machine digitale, solo che invece di monetine, buttiamo dentro minuti (e spesso ore) della nostra giornata. Non per forza. L’ironia è che in questo “mercato” noi siamo allo stesso tempo merce e consumatori. Da un lato veniamo corteggiati, monitorati e spinti a guardare “ancora un episodio”. Dall’altro, possiamo diventare consapevoli di questi meccanismi e imparare a usare gli strumenti digitali a nostro favore. Un esempio? Decidere di spegnere le notifiche, stabilire dei tempi senza schermo o persino pagare servizi premium per liberarci dalla pubblicità. Non è una rivoluzione, ma è un modo per dire: ok, i miei occhi e il mio tempo hanno un valore, e lo gestisco io. La domanda, in fondo, è semplice: a chi vogliamo dare la nostra attenzione? Perché ogni minuto passato su un contenuto è un minuto tolto ad altro: leggere un libro, parlare con un amico, cucinare, o – perché no – non fare assolutamente niente. Che, in un mondo così saturo di stimoli, è quasi un atto di ribellione.
Matteo Mainardi ospite al FLAG Festival: “Conversazioni sul fine vita”
Roma, Piazza Vittorio – Notti di Cinema Domenica 14 settembre 2025 Ore 19:00 All’interno della 6ª edizione del FLAG Festival – C’entriamo tuttə
In occasione della sesta edizione del FLAG Festival, appuntamento con Matteo Mainardi, coordinatore delle iniziative sul fine vita e Consigliere Generale di Associazione Luca Coscioni.
L’incontro, dal titolo “Conversazioni sul fine vita”, sarà un momento di confronto sui diritti civili, sull’autodeterminazione e sull’urgenza di una legge che garantisca dignità anche nell’ultimo tratto della vita.
Introduce Renato Scatteralla.
L’evento si svolge nell’ambito di Notti di Cinema a Piazza Vittorio, nel cuore del quartiere Esquilino di Roma, e rientra nel programma del FLAG – Festival delle libertà e dell’autodeterminazione di genere.
Filomena Gallo interviene da remoto al convegno “Il consenso informato ed il ruolo del medico”
Spazio Incontri Fondazione CRC, Via Roma 15 – Cuneo Venerdì 26 settembre 2025 Ore 14:30 – Registrazione | Ore 14:50 – Inizio lavori
Nell’ambito della Settimana della Medicina Interna, la Camera Penale “Vittorio Chiusano” – Sezione di Cuneo promuove un incontro di grande rilevanza giuridica, etica e sanitaria dal titolo:
“Il consenso informato ed il ruolo del medico. Tra vizi della capacità e diritto all’autodeterminazione”
Tra i relatori anche Filomena Gallo, Avvocata e Segretaria Nazionale dell’Associazione Luca Coscioni, che interverrà da remoto con un approfondimento sul diritto all’autodeterminazione nel percorso di cura.
L’evento offrirà uno sguardo multidisciplinare sul tema, con il contributo di esperti di antropologia, diritto amministrativo, medicina legale, psichiatria e giurisprudenza. Un’occasione preziosa per affrontare le complessità del consenso informato, dai risvolti teorici fino alla pratica quotidiana.
La partecipazione è gratuita e dà diritto a 4 crediti formativi per Avvocati. Posti limitati in presenza (max 80), iscrizione tramite Riconosco Possibilità di seguire anche online, iscrizione su: www.staffpep.com – sezione Prossimi Eventi
Scheda madre Gigabyte b550, nuova e mai usata, confezione intatta e scheda ancora sigillata. Include ogni accessorio in condizioni intatte.
Prezzo 120€ + spedizione.
Pagamento tramite paypal o postepay, spedizione in tre giorni tramite corriere tracciato, disponibile anche al ritiro a mano. Posso scambiare anche con materiale per retrocomputing, home computers e retroconsolle.
Sullo sconfinamento dei droni russi in Polonia nelle prime ore di mercoledì non sono ancora emerse notizie chiare né prove certe, ma il governo di Varsavia e il resto della NATO non hanno come al solito esitato a lanciare una nuova ondata di attacchi…
Nuovo articolo su giardino-punk.it: Fateveli raccontare #1: Utopia giardino-punk.it/fateveli-racc… Tutto quello che volevi sapere sull’utopia ma non hai mai avuto il coraggio di leggere
La sicurezza nazionale resta una delle basi della politica statunitense. L’approvazione da parte della Camera dei rappresentanti del National defense authorization act (Ndaa) per il 2026 è un passaggio importante nel dibattito sulle spese militari, anche se non tutto è definitivo. Con un budget proposto
Il Global combat air programme (Gcap) rappresenta uno dei più ambiziosi progetti di difesa aeronautica a livello internazionale. Lanciato da Italia, Regno Unito e Giappone, il programma mira a sviluppare entro il 2035 un caccia di sesta generazione che segnerà un salto qualitativo non solo sul piano operativo, ma anche
Ha lo scopo di contrastare la pedofilia online, se ne discute da anni e ci sono forti dubbi sulla tutela della privacy e della libertà di espressione praticamente di chiunque
.mau.
in reply to Max 🇪🇺🇮🇹 • • •