Esiste una falla di sicurezza avanzata in M365 Copilot, che permette a malintenzionati di estorcere informazioni sensibili dai tenant, come ad esempio email recenti, attraverso manovre di iniezione indiretta di comandi.

Un ricercatore di sicurezza, Adam Logue, ha dettagliatamente descritto una vulnerabilità in un articolo sul suo blog recentemente pubblicato. Questa vulnerabilità, grazie all’integrazione dell’assistente AI nei documenti Office e al supporto nativo per i diagrammi Mermaid, permette la fuoriuscita di dati con un solo clic iniziale dell’utente, senza richiedere ulteriori interazioni.

L’attacco inizia quando un utente chiede a M365 Copilot di riassumere un foglio di calcolo Excel creato appositamente. Istruzioni nascoste, incorporate in testo bianco su più fogli, utilizzano la modifica progressiva delle attività e comandi nidificati per dirottare il comportamento dell’IA.

I prompt indiretti sostituiscono l’attività di riepilogo, indicando a Copilot di richiamare il suo strumento search_enterprise_emails per recuperare le email aziendali recenti. Il contenuto recuperato viene quindi codificato in formato esadecimale e frammentato in righe brevi per aggirare i limiti di caratteri di Mermaid.

Copilot genera un diagramma Mermaid, uno strumento basato su JavaScript per creare diagrammi di flusso e diagrammi a partire da testo simile a Markdown che si spaccia per un “pulsante di accesso” protetto da un’emoji a forma di lucchetto.

Il diagramma include lo stile CSS per un aspetto convincente del pulsante e un collegamento ipertestuale che incorpora i dati e-mail codificati. Quando l’utente clicca sul link, credendo che sia necessario per accedere al contenuto “sensibile” del documento, questo reindirizza al server dell’aggressore. Il payload codificato in esadecimale viene trasmesso silenziosamente, dove può essere decodificato dai log del server.

Adam Logue ha notato delle somiglianze con un precedente exploit Mermaid in Cursor IDE, che consentiva l’esfiltrazione senza clic tramite immagini remote, sebbene M365 Copilot richiedesse l’interazione dell’utente.

Dopo approfonditi test, il payload è stato ispirato dalla ricerca TaskTracker di Microsoft sul rilevamento del “task drift” nei LLM. Nonostante le difficoltà iniziali nel riprodurre il problema, Microsoft ha convalidato la catena e l’ha corretta entro settembre 2025, rimuovendo i collegamenti ipertestuali interattivi dai diagrammi Mermaid renderizzati da Copilot.

La cronologia delle scoperte mostra che ci sono state difficoltà di coordinamento. Adam Logue ha riferito la situazione completa il 15 agosto 2025, dopo aver discusso con lo staff del Microsoft Security Response Center (MSRC) al DEFCON.

L'articolo Un grave bug in Microsoft 365 Copilot porta all’esfiltrazione dei dati tramite prompt proviene da Red Hot Cyber.

Unless you are over a certain age, you probably take it for granted that electronic gadgets you buy have some FCC marking on them. But it wasn’t always true. [Ernie] submits that the FCC’s regulation of the computer industry was indirectly the result of the success of CB radio in that same time period.

Today, there is a high chance you don’t watch TV directly over the airwaves or even consume audio from a traditional radio station. Even if you do, the signal is increasingly likely to be digital. But only analog radio and TV were highly susceptible to interference. When a professional radio station or the power company interfered with you watching I Love Lucy, you could count on them to resolve it. Even ham radio operators, a small segment of the population, would, in general, graciously help you if their transmissions interfered with your equipment.

Never mind that, in many cases, it was the cheap TV or some other problem on the receiving end. Then there was another source of potential interference: CB radio. At first, you were about as likely to encounter a CB operator as a ham radio operator. But then in the 1970s, CB exploded, becoming a cultural phenomenon, and you can hear what a state it was in by watching the contemporary TV report in the video below.

This explosion of operators who did nothing more than apply for a license (if they even bothered to do so) and bought their equipment at a local store had no idea how to help curb interference, even if they wanted to. In 1977, the AP reported that 83% of the FCC’s TV interference complaints involved CB radio.

Early computers were also very noisy on the radio bands. So much so that early attempts at computer audio output were simply modulating the radio frequency interference. Again, at first, this wasn’t a huge problem. But as computers became more common, so did computer-related interference, and the FCC didn’t want to deal with another CB radio-style explosion.

The rest is, as they say, history, and [Ernie] covers it all in the post. Getting a product approved by the FCC isn’t trivial, but if you have to do it, we have some advice.

youtube.com/embed/3O0Ak8NySbs?…

hackaday.com/2025/10/23/why-do…

The Unihiker K10 is intended to be a small single-board solution for light AI and machine learning tasks. However, you don’t have to use it in that way if you don’t want to. [mircemk] figured out how to repurpose the device, and whipped up a simple Internet clock build to demonstrate how it’s done.

While the Unihiker K10 is based on the common ESP32 microcontroller, out of the box, it isn’t compatible with standard Arduino libraries. However, [mircemk] had previously figured out how to get the K10 to play nice with the Arduino environment, building a simple light meter as a proof of concept. It just took a little tinkering to get everything playing nicely together, but soon enough, the TFT LCD and a light sensor were playing nicely with the K10 platform.

Moving forward, [mircemk] wanted to unlock more capability, so set about figuring out how to get WiFi and the onboard buttons working within the Arduino environment. A great way to test this was building a clock—the screen would show an analog clock face, the buttons would be used for control, and the WiFi would be used to query an NTP time server to keep it synced up and accurate.

It took a little work, particularly as the buttons are accessed through an external I/O expansion chip, but [mircemk] got there in the end. The clock may not be a particularly advanced project, but the write-up demonstrates how the K10 can readily be used with Arduino libraries for when you’re not interested in leveraging its fancier AI/ML capabilities.

We’ve seen a few good builds from [mircemk] before, too, like this neat proximity sensor.

youtube.com/embed/ERkO8fwU9LM?…

hackaday.com/2025/10/23/making…

La Russia sta preparando una nuova versione di un disegno di legge che legalizza gli hacker “white hat”. Due fonti di agenzie governative e del settore della sicurezza informatica hanno riferito a RBC che il documento ha già superato la fase di approvazione principale ed è in preparazione per la presentazione alla Duma di Stato.

L’iniziativa prevede la creazione di un sistema unificato di regolamentazione governativa per tutti i tipi di attività di ricerca relative al rilevamento delle vulnerabilità. Il progetto coinvolgerà gli specialisti ingaggiati dalle aziende per testare i loro sistemi informativi, sia direttamente che tramite piattaforme di bug bounty, dove vengono pagate ricompense per errori e vulnerabilità scoperti.

La nuova versione del disegno di legge introduce il concetto di “evento di ricerca di vulnerabilità”. Come spiegato dalle fonti di RBC, questo “potrebbe comprendere tutte le forme di ricerca di vulnerabilità, cancellando le distinzioni esistenti nel settore”. Ciò include sia i programmi commerciali di bug bounty condotti tramite piattaforme specializzate, sia gli audit interni, in cui i dipendenti dell’azienda ricercano vulnerabilità. Questa categoria include anche la ricerca indipendente, in cui specialisti testano il software in modo indipendente, e i penetration test condotti nell’ambito di contratti ufficiali tra organizzazioni.

Si propone di delegare la regolamentazione di tutte queste attività alle forze dell’ordine: l’FSB, l’FSTEC e il Centro Nazionale di Coordinamento per gli Incidenti Informatici. Queste potrebbero essere autorizzate a stabilire requisiti obbligatori per le aree chiave della ricerca di vulnerabilità, indipendentemente dal fatto che i programmi siano commerciali, per uso interno o correlati ad aziende o enti governativi critici.

Ciò include l’identificazione e la verifica obbligatorie degli hacker “white hat”; norme per l’accreditamento e il funzionamento delle organizzazioni che conducono ricerche di vulnerabilità; norme che disciplinano l’elaborazione e la protezione dei dati sulle vulnerabilità identificate; regolamenti su come le informazioni sulle vulnerabilità debbano essere comunicate al proprietario delle risorse e agli enti governativi, e altro ancora.

Si prevede che gli elenchi degli operatori accreditati saranno pubblicati sui siti web ufficiali delle forze dell’ordine. Sarà vietato organizzare eventi al di fuori delle sedi accreditate o in violazione delle norme stabilite. Inoltre, si propone che chiunque scopra una vulnerabilità sia tenuto a segnalarla non solo al proprietario del software, ma anche alle forze dell’ordine.

Il progetto propone modifiche all’articolo 274 del Codice penale russo, che classificherebbero come reato il “trasferimento illegale di vulnerabilità”, ovvero il trasferimento di informazioni in violazione delle norme stabilite. Secondo alcune fonti, si starebbe valutando anche la possibilità di creare un registro statale degli hacker “white hat”.

Il Ministero dello Sviluppo Digitale, delle Comunicazioni e dei Mass Media ha confermato il suo coinvolgimento nella finalizzazione dell’iniziativa. Un portavoce del Ministero ha dichiarato che “il Ministero sta dialogando con l’industria e i colleghi della Duma di Stato su questo disegno di legge”, osservando che non sono ancora pervenute proposte per la creazione di un registro. Ha aggiunto che il progetto mira a legalizzare le attività degli hacker “white hat” per prevenire potenziali conseguenze negative per il loro lavoro. Prima che la legge venga adottata e firmata dal Presidente, il documento potrebbe essere modificato per riflettere il contributo dell’industria e delle agenzie interessate.

Gli esperti intervistati da RBC definiscono la nuova versione dell’iniziativa più rigorosa e sottolineano i rischi della deanonimizzazione obbligatoria degli specialisti. Affermano che la creazione di un registro degli hacker “white hat” e la condivisione dei dati con le forze dell’ordine potrebbero portare a fughe di notizie, minacce alla sicurezza dei ricercatori e un esodo dei partecipanti dai programmi di bug bounty. Alcuni esperti avvertono che aziende e ricercatori indipendenti, temendo le conseguenze, potrebbero ritirarsi nella “zona grigia” e condurre test in modo non ufficiale.

L'articolo La Russia legalizza gli hacker white hat con una nuova legge in arrivo proviene da Red Hot Cyber.

Piraten Podcast 3 (22 okt 2025): De geschiedenis van de partij, de geschiedenis van PiratenDeze Piraten Podcast werd opgenomen in HAN Nijmegen Met David, Arjan, en Roberto!en dank aan: Sabrina, Leontien en Bart.

Het bericht Piraten Podcast 3: De geschiedenis van de partij verscheen eerst op Piratenpartij.

Oggi i dati personali sono diventati una delle merci più importanti su internet. Tuttavia, molte persone non si rendono conto che le informazioni che li riguardano, disponibili online, possono in realtà nuocere quando vengono raccolte silenziosamente, vendute e rivendute da data broker e piattaforme di ricerca persone.

Una volta che i dati vengono venduti, c’è un’enorme probabilità che siano utilizzati in truffe, furti d’identità e campagne di molestia. Questo significa che è necessario essere più vigili riguardo a ciò che si condivide online.

Molti non si accorgono che i propri dati stanno già circolando attraverso pipeline digitali. Con elenchi pubblici, social media e archivi governativi, è diventato estremamente facile raccogliere e archiviare informazioni. Con pochi clic, chiunque può accedere a questi dati.

Per chi desidera ridurre la propria esposizione, soluzioni come fast people search removal possono aiutare a riconquistare un certo controllo prima che le informazioni finiscano nelle mani sbagliate. È sempre meglio essere cauti e intraprendere ulteriori passi per limitare la propria esposizione, piuttosto che lasciare il campo libero ai cybercriminali.

Dal Surface Web al Dark Web

Il viaggio dei dati personali inizia quasi sempre con directory aperte e facilmente accessibili. La maggior parte di questi siti sembra innocua, persino utile. Per questo molte persone tendono a fidarsi ciecamente. Ma dietro le quinte, queste piattaforme operano in un meccanismo continuo di raccolta e redistribuzione dei dati. Nella maggior parte dei casi, i proprietari di tali dati non sanno nemmeno che questo sta accadendo.

L’aspetto inquietante è che i cybercriminali sanno esattamente dove guardare. Con le loro competenze, è diventato facile per loro scambiare o vendere queste informazioni nei marketplace del dark web, dove l’anonimato non significa responsabilità.

Perché i cybercriminali valorizzano i dati facilmente reperibili

Per i criminali informatici, anche i dati apparentemente banali sono utili. Ad esempio, avere indirizzo e numero di telefono di una persona permette di effettuare chiamate di phishing. Disporre della data di nascita e di una vecchia password può consentire di reimpostare accessi su diverse piattaforme.

All’inizio può sembrare innocuo, ma è proprio così che funziona la catena dello sfruttamento. I criminali non hanno quasi mai bisogno di tecniche di hacking sofisticate subito. Cominciano raccogliendo piccoli frammenti di dati, fino a metterne insieme abbastanza per ingannare o impersonare la vittima. Per questo motivo il mercato delle informazioni personali continua a crescere.

Il ruolo dei data broker e degli aggregatori

Al centro di questo sistema ci sono i data broker. Queste aziende si specializzano nella raccolta, nell’impacchettamento e nella rivendita di informazioni sui consumatori. Le loro fonti sono enormi: registri elettorali, post sui social media, acquisti online e persino dati di localizzazione raccolti da app mobili. Anche se alcuni broker operano entro i limiti della legge, la mancanza di trasparenza su dove e come i dati vengano condivisi rende quasi impossibile per i singoli tracciare la diffusione delle proprie informazioni.

I motori di ricerca persone rappresentano il livello visibile di questo ecosistema. Monetizzano la visibilità, permettendo a chiunque di accedere a parti del flusso dei dati. Sebbene per queste aziende sia legale compilare e distribuire tali informazioni, le implicazioni etiche e il potenziale di abuso sono enormi.

Ridurre la superficie di attacco

Anche se è impossibile cancellare ogni traccia dei propri dati da internet, passi proattivi possono aiutare a minimizzare l’esposizione. Qui entrano in gioco i servizi specializzati. Strumenti progettati per la rimozione rapida dalle piattaforme di ricerca persone inoltrano richieste ai data broker affinché eliminino le informazioni, aiutando così a ridurre l’impronta digitale individuale.

A differenza degli strumenti di cybersicurezza tradizionali, questi servizi non bloccano direttamente gli hacker. Lavorano invece sul lato preventivo, riducendo la superficie che i criminali possono sfruttare. Ad esempio, richiedendo la cancellazione da più directory, gli utenti rendono molto più difficile ai malintenzionati costruire profili accurati.

Uno sguardo più ampio: la cybersicurezza oltre i firewall

La cybersicurezza viene spesso descritta come questione di password forti, firewall e software antivirus. Sebbene queste difese siano essenziali, non affrontano il problema più profondo: la quantità di dati personali già esposti. I criminali raramente iniziano più con attacchi di forza bruta; partono da informazioni disponibili online gratuitamente o a basso costo.

Trattando i dati personali come la merce preziosa che sono, individui e organizzazioni possono comprendere meglio l’urgenza di limitarne la diffusione. Richieste di cancellazione, unite a comportamenti online più consapevoli, non sono scudi perfetti, ma rappresentano passi concreti per recuperare una certa misura di controllo.

Conclusione: un mercato che non rallenterà

La realtà è chiara: i dati personali resteranno una merce di alto valore finché internet esisterà. La facilità con cui directory e piattaforme di ricerca persone forniscono informazioni garantisce un flusso costante di materiale ai mercati del dark web. I criminali prosperano grazie a questa accessibilità, e ogni nuovo dataset alimenta ulteriori truffe e sfruttamenti.

Ciò che le persone possono fare è concentrarsi nel ridurre al minimo la propria impronta digitale, prima che i loro dati vengano riutilizzati per attività dannose. Consapevolezza, rimozione proattiva e vigilanza costante rimangono le difese più forti in un mondo in cui le informazioni personali sono diventate un bene commerciabile.

L'articolo I dati personali come merce: come l’accesso facile alimenta i mercati della cybercriminalità proviene da Red Hot Cyber.