Theoretically bicycle rental services are a great thing, as they give anyone the means to travel around comfortably without immediately having to rent a car, hail a taxi or brave whatever the local public transport options may be. That is until said services go out of business and suddenly thousands of increasingly more proprietary and locked-down e-bikes suddenly are at risk of becoming e-waste. So too with a recent acquisition by [Berm Peak] over at YouTube, featuring a ‘Gotcha’ e-bike by Bolt Mobility, which went AWOL back in 2022, leaving behind thousands of these e-bikes.

So how hard could it be to take one of these proprietary e-bikes and turn it into a run-off-the-mill e-bike for daily use? As it turns out, very hard. While getting the (36V) battery released and recharged was easy enough, the challenge came with the rest of the electronics, with a veritable explosion of wiring, the Tongsheng controller module and the ‘Gotcha’ computer module that locks it all down. While one could rip this all out and replace it, that would make the cost-effectiveness of getting one of these go down the drain.

Sadly, reverse-engineering the existing system proved to be too much of a hassle, so a new controller was installed along with a bunch of hacks to make the lights and new controller work. Still, for $75 for the bike, installing new electronics may be worth it, assuming you can find replacement parts and got some spare hours (or weeks) to spend on rebuilding it. The bike in the video costed less than $200 in total with new parts, albeit with the cheapest controller, but maybe jailbreaking the original controller could knock that down.

youtube.com/embed/yJC9s4XhiRE?…

hackaday.com/2025/05/19/the-ni…

Gli espertidi sicurezza hanno riportato di una piattaforma trading cinese Xinbi Guarantee, che opera sulla base di Telegram. Dal 2022 sono transitati almeno 8,4 miliardi di dollari attraverso questo mercato ombra, rendendolo il secondo mercato nero più grande dopo HuiOne Guarantee.

Secondo un rapporto degli analisti blockchain di Elliptic, Xinbi Guarantee vendeva tecnologia, dati personali e servizi di riciclaggio di denaro. “La stablecoin Tether (USDT) è il principale mezzo di pagamento per Xinbi Guarantee e, ad oggi, il volume delle transazioni ha superato gli 8,4 miliardi di dollari”, scrivono i ricercatori. “Alcune transazioni potrebbero essere collegate a fondi rubati dalla Corea del Nord.”

Xinbi, come HuiOne, ha lavorato principalmente con truffatori del Sud-Est asiatico, tra cui uno che è diventato popolare negli ultimi anni con la truffa romantica (nota anche come “macellazione del maiale”).

In questo schema, i truffatori utilizzano l’ingegneria sociale e contattano persone (“maiali”) sui social media e sulle app di incontri. Con il passare del tempo, i criminali si sono guadagnati la fiducia delle loro vittime fingendo un’amicizia o un interesse romantico e, a volte, fingendosi veri amici della vittima.

Una volta stabilito il “contatto”, a un certo punto i criminali propongono alla vittima di investire in criptovalute, per cui la vittima viene indirizzata a un sito web falso. Sfortunatamente, sarà impossibile recuperare i tuoi fondi e ricevere entrate false da tali “investimenti”.

Secondo gli esperti, Xinbi Guarantee contava circa 233.000 utenti e i venditori erano divisi in categorie legate al riciclaggio di denaro, alle apparecchiature Internet satellitari Starlink, ai falsi documenti d’identità e ai database rubati, utilizzati per trovare potenziali vittime.

Alcuni venditori offrivano anche servizi di stalking e intimidazione a qualsiasi bersaglio scelto in Cina, pubblicizzavano donne come donatrici di ovuli o madri surrogate e si dedicavano persino al traffico di esseri umani, andando ben oltre le solite truffe informatiche.

“I volumi delle transazioni su piattaforme cinesi come Huione e Xinbi Guarantee superano significativamente i volumi delle transazioni sulla prima generazione di piattaforme darknet su Tor”, sottolineano gli esperti.

Inoltre, si sottolinea che Xinbi e HuiOne Guarantee sono stati utilizzati per riciclare le criptovalute rubate dagli hacker nordcoreani dall’exchange di criptovalute indiano WazirX nel luglio dello scorso anno. Pertanto, secondo Elliptic, il 12 novembre 2024, 220.000 dollari in USDT sono stati inviati agli indirizzi wallet controllati da Xinbi.

Un aspetto interessante dell’attività di Xinbi è che è gestita da un “gruppo di società di investimento e gestione patrimoniale” registrato nello stato americano del Colorado a nome di un uomo di nome Mohd Shahrulnizam Bin Abd Manap. Secondo il registro statale delle società, Xinbi è stata costituita nell’agosto 2022 e da allora non ha presentato relazioni periodiche.

Gli esperti scrivono di aver trasmesso tutte le informazioni raccolte agli specialisti di Telegram, dopodiché l’amministrazione di Messenger ha chiuso migliaia di canali associati a Xinbi e HuiOne Guarantee, interrompendo il funzionamento di due piattaforme di trading, il cui fatturato totale supera i 35 miliardi di dollari USA in transazioni USDT.

Poco dopo, HuiOne/Haowang Guarantee ha pubblicato una dichiarazione ufficiale sul proprio sito web, affermando che avrebbe cessato le operazioni perché “tutti gli NFT, i canali e i gruppi sono stati bloccati da Telegram”. Si sottolinea che tutte le attività sul marketplace sono state condotte da venditori terzi che non avevano alcun rapporto con HuiOne Guarantee.

“Offriamo solo servizi di garanzia. Operiamo solo su Telegram, che è bloccato nella Cina continentale da molto tempo. Gli utenti della Cina continentale non possono usare Telegram, quindi i nostri clienti predefiniti sono utenti di altri Paesi”, ha dichiarato l’azienda.

In risposta a ciò, gli esperti di Elliptic hanno pubblicato un nuovo post, in cui hanno sottolineato che tali piattaforme agiscono in realtà come intermediari tra venditori e acquirenti. Tuttavia, l’amministrazione del marketplace controlla l’accesso e utilizza meccanismi di protezione dalle frodi, tra cui depositi e servizi di deposito a garanzia..

Di conseguenza, HuiOne Guarantee ha incoraggiato i suoi venditori e utenti a migrare verso un altro marketplace chiamato Tudou Guarantee, che ha già visto la sua base di utenti aumentare del 30%. Inoltre, secondo gli analisti di Elliptic, “ci sono già segnali che Xinbi stia cercando di riprendere le operazioni” con il nome Xinbi 2.0.

L'articolo Riciclaggio, Romantic Scam e Hacker Nord coreani. Dentro i mercati Telegram di Xinbi Guarantee proviene da il blog della sicurezza informatica.

The seeds of the Internet were first sown in the late 1960s, with computers laced together in continent-spanning networks to aid in national defence. However, it was in the late 1990s that the end-user explosion took place, as everyday people flocked online in droves.

Many astute individuals saw the potential at the time, and rushed to establish their own ISPs to capitalize on the burgeoning market. Amongst them was a famous figure of some repute. David Bowie might have been best known for his cast of rock-and-roll characters and number one singles, but he was also an internet entrepreneur who got in on the ground floor—with BowieNet.

Is There Dialup On Mars?

The BowieNet website was very much of its era. Credit: Bowienet, screenshot
Bowie’s obsession with the Internet started early. He was well ahead of the curve of many of his contemporaries, becoming the first major artist to release a song online. Telling Lies was released as a downloadable track, which sold over 300,000 downloads, all the way back in 1996. A year later, the Earthling concert would be “cybercast” online, in an era when most home internet connections could barely handle streaming audio.

These moves were groundbreaking, at the time, but also exactly what you might expect of a major artist trying to reach fans with their music. However, Bowie’s interests in the Internet lay deeper than mere music distribution. He wanted a richer piece of the action, and his own ISP—BowieNet— was the answer.
The site was regularly updated with new styling and fresh content from Bowie’s musical output. Eventually, it became more website than ISP. Credit: BowieNet, screenshot
Bowie tapped some experts for help, enlisting Robert Goodale and Ron Roy in his nascent effort. The service first launched in the US, on September 1st 1998, starting at a price of $19.95 a month. The UK soon followed at a price of £10.00. Users were granted a somewhat awkward email address of username@davidbowie.com, along with 5MB of personal web hosting. Connectivity was provided in partnership with established network companies, with Concentric Network Corp effectively offering a turnkey ISP service, and UltraStar handling the business and marketing side of things. It was, for a time, also possible to gain a free subscription by signing up for a BowieBanc credit card, a branded front end for a banking services run by USABancShares.com. At its peak, the service reached a total of 100,000 subscribers.

Bonuses included access to a network of chatrooms. The man himself was a user of the service, regularly popping into live chats, both scheduled and casually. He’d often wind up answering a deluge of fan questions on topics like upcoming albums and whether or not he drank tea. The operation was part ISP, part Bowie content farm, with users also able to access audio and video clips from Bowie himself. BowieNet subscribers were able to access exclusive tracks from the Earthling tour live album, LiveAndWell.com, gained early access to tickets, and could explore BowieWorld, a 3D interactive city environment. To some controversy, users of other ISPs had to stump up a $5.95 fee to access content on davidbowie.com, which drew some criticism at the time.

Bowienet relied heavily on the leading Internet technologies of the time. Audio and graphics were provided via RealAudio and Flash, standards that are unbelievably janky compared to those in common use today. A 56K modem was recommended for users wishing to make the most of the content on offer. New features were continually added to the service; Christmas 2004 saw users invited to send “BowieNet E-Cards,” and the same month saw the launch of BowieNet blogs for subscribers, too.

youtube.com/embed/tLf6KZmJyrA?…

Bowie spoke to the BBC in 1999 about his belief in the power of the Internet.

BowieNet didn’t last forever. The full-package experience was, realistically, more than people expected even from one of the world’s biggest musicians. In May 2006, the ISP was quietly shutdown, with the BowieNet web presence slimmed down to a website and fanclub style experience. In 2012, this too came to an end, and DavidBowie.com was retooled to a more typical artist website of the modern era.

Ultimately, BowieNet was an interesting experiment in the burgeoning days of the consumer-focused Internet. The most appealing features of the service were really more about delivering exclusive content and providing a connection between fans and the artist himself. It eventually became clear that Bowie didn’t need to be branding the internet connection itself to provide that.

Still, we can dream of other artists getting involved in the utilities game, just for fun. Gagaphone would have been a slam dunk back in 2009. One suspects DojaGas perhaps wouldn’t have the same instant market penetration without some kind of hit single about clean burning fuels. Speculate freely in the comments.

hackaday.com/2025/05/19/rememb…

La ricerca dei bug frutta e anche molto!

Si è concluso il Pwn2Own Berlin 2025 con risultati tecnologici impressionanti, portando il montepremi complessivo a oltre un milione di dollari. I ricercatori di sicurezza hanno dimostrato sofisticate tecniche di sfruttamento contro obiettivi di alto profilo, tra cui Windows 11, VMware ESXi e Mozilla Firefox, rivelando vulnerabilità zero-day critiche che i fornitori devono ora affrontare.

La competizione di hacking, durata tre giorni, ha messo in luce 28 vulnerabilità zero-day uniche, con i ricercatori che hanno vinto premi per un totale di 1.078.750 dollari. Il terzo giorno si sono verificati diversi exploit zero-day significativi contro le principali piattaforme. L’ex vincitore del Master of Pwn Manfred Paul ha sfruttato con successo Mozilla Firefox sfruttando una vulnerabilità di tipo integer overflow nel motore di rendering, guadagnando 50.000 dollari e 5 punti Master of Pwn.

Questo exploit che riguarda solo il rendering ha dimostrato come aggressori sofisticati possano compromettere i sistemi sfruttando le vulnerabilità del browser. La sicurezza di Windows 11 è stata violata due volte nel corso della giornata. Miloš Ivanović ha dimostrato una vulnerabilità alle condizioni di gara per aumentare i privilegi al livello SYSTEM nel tentativo finale della competizione, guadagnando 15.000 dollari.

In precedenza, un membro del team di ricerca DEVCORE aveva dimostrato con successo l’escalation dei privilegi su Windows 11, sebbene uno dei due bug utilizzati fosse già noto a Microsoft. Anche i prodotti di virtualizzazione VMware si sono dimostrati vulnerabili. Corentin BAYET di Reverse_Tactics ha sfruttato VMware ESXi sfruttando una vulnerabilità di tipo integer overflow e un bug di variabile non inizializzata precedentemente segnalato, guadagnando 112.500 dollari nonostante la collisione parziale.

Inoltre, Thomas Bouzerar ed Etienne Helluy-Lafont di Synacktiv hanno sfruttato con successo VMware Workstation tramite un buffer overflow basato su heap, guadagnando 80.000 dollari e 8 punti Master of Pwn. STAR Labs SG si è aggiudicato il titolo di vincitore assoluto, aggiudicandosi il prestigioso titolo Master of Pwn con 320.000 dollari di guadagni e 35 punti. Il loro team ha dimostrato eccezionali capacità tecniche in diverse categorie.
Immagini del Pwn2own 2025 (Fonte zerodayinitiative.com)
In una dimostrazione particolarmente impressionante, i membri del team Dung e Nguyen hanno sfruttato una condizione di competizione TOCTOU (time-of-check-to-time-of-use) per uscire da una macchina virtuale, combinandola con una convalida impropria della vulnerabilità dell’indice dell’array per aumentare i privilegi in Windows. Questa complessa catena di attacchi ha fruttato loro 70.000 dollari e 9 punti Master of Pwn.

Secondo il rapporto, l’evento di Berlino del 2025 ha segnato un traguardo significativo, con 1.078.750 dollari assegnati in tre giorni, di cui 383.750 dollari solo nell’ultimo giorno. Questo montepremi da record sottolinea la crescente importanza e il valore economico della ricerca sulla sicurezza.

Dei 28 zero-day unici e divulgati durante l’evento, sette provenivano dalla categoria AI, a dimostrazione dell’espansione della superficie di attacco dovuta alla crescente diffusione dei sistemi di intelligenza artificiale. Il formato competitivo continua a rappresentare un meccanismo efficace per identificare vulnerabilità critiche prima che soggetti malintenzionati possano sfruttarle.
Immagini del Pwn2own 2025 (Fonte zerodayinitiative.com)
L’evento, ospitato da OffensiveCon, ha riunito ricercatori e fornitori di sicurezza d’élite in un quadro di collaborazione che apporta vantaggi all’intero ecosistema tecnologico. I fornitori hanno già iniziato ad affrontare le vulnerabilità scoperte, dimostrando l’impatto pratico dell’evento sul miglioramento della sicurezza digitale per gli utenti di tutto il mondo.

L'articolo 28 zero-day in 3 giorni e oltre un milione di dollari in premi: ecco cosa è successo al Pwn2Own 2025 proviene da il blog della sicurezza informatica.

WELCOME BACK TO DIGITAL POLITICS. I'm Mark Scott. This weekend was another belter when it came to elections (we'll get to that in a minute.) But, more importantly, Austria won this year's Eurovision song contest with this entry — still not as good as this Italian winner from 2021, imo.

— Digital sovereignty is now the name of the game. That's going to lead to increased silos between how countries approach crucial tech policy issues.

— Romanians backed a pro-EU candidate to become the country's next president. That hasn't stopped many from crying foul play.

— The cost of using the most advanced AI models has fallen 280-fold over the last 18 months as companies race to woo users worldwide.

Let's get started:

digitalpolitics.co/newsletter0…

When we hear the words “pitot tube,” we tend to think more of airplanes than of air ducts, but [Franci Kopač]’s guide to pitot tubes for makers shows that they can be a remarkably versatile tool for measuring air speed, even in domestic settings.

A pitot tube is a tube which faces into an air flow, with one hole at the front of the tube, and one on the side. It’s then possible to determine the air speed by measuring the pressure difference between the side opening and the end facing into the wind. At speeds, temperatures, and altitudes that a hacker’s likely to encounter (i.e. not on an airplane), the pressure difference is pretty small, and it’s only since the advent of MEMS pressure sensors that pitot tubes became practical for amateurs.

[Franci]’s design is based on a Sensiron SDP differential pressure sensor, a 3D-printed pitot tube structure, some tubing, and the microcontroller of your choice. It’s important to position the tube well, so that it doesn’t experience airflow disturbances from other structures and faces straight into the air flow. Besides good positioning, the airspeed calculation requires you to know the air temperature and absolute pressure.

[Franci] also describes a more exotic averaging pitot tube, a fairly simple variation which measures air speed in cavities more accurately. He notes that this provides a more inexpensive way of measuring air flow in ducts than air conditioning flow sensors, while being more resilient than propeller-based solutions – he himself used pitot tubes to balance air flow in his home’s ventilation. All of the necessary CAD files and Arduino code are available on his GitHub repository.

If you’re looking for a more conventional duct flow meter, we’ve covered one before. We’ve even seen a teardown of a pitot tube sensor system from a military drone.

hackaday.com/2025/05/19/using-…

Presentata venerdì mattina dalla coordinatrice Laura Santi, insieme a Marco Cappato e la Sindaca di Perugia Vittoria Ferdinandi. Parte la raccolta firme per una legge regionale che garantisca tempi certi per chi fa richiesta di accesso all’iter per il “suicidio assistito”

QUI tutti i tavoli previsti in Regione nei prossimi giorni

È partita venerdì mattina da Perugia, con una conferenza stampa, la campagna Liberi Subito in Umbria, promossa dall’Associazione Luca Coscioni.

La proposta di legge regionale d’iniziativa popolare mira a garantire tempi certi e procedure chiare per l’accesso al suicidio medicalmente assistito, in attuazione della sentenza 242/2019 della Corte costituzionale. In molte regioni, infatti, nonostante la legge consenta già questa possibilità, mancano protocolli chiari e si registrano continui ritardi o ostruzionismi da parte delle ASL.

Coordinatrice regionale della campagna è Laura Santi, 55 anni, attivista, giornalista affetta da una forma progressiva di sclerosi multipla e consigliera generale volto della battaglia dell’Associazione Luca Coscioni per una buona legge sul Fine vita. Lo scorso novembre Laura ha ottenuto il via libera dalla propria ASL per accedere legalmente al suicidio medicalmente assistito, diventando la prima persona in Umbria a raggiungere questo traguardo. Una conquista arrivata dopo due anni di attesa, due denunce, due diffide, un ricorso d’urgenza e un reclamo, necessari per ottenere una risposta dall’azienda sanitaria umbra. L’intero percorso è stato seguito e sostenuto dal collegio legale dell’Associazione Luca Coscioni, coordinato dall’avvocata Filomena Gallo, segretaria nazionale dell’associazione.

Nonostante l’autorizzazione ottenuta, l’iter non è ancora concluso: Laura è infatti ancora in attesa che vengano definite le modalità di esecuzione della sua volontà e venga individuato il farmaco necessario per procedere.

Con lei, a sostegno dell’iniziativa, erano presenti Marco Cappato, tesoriere dell’Associazione Luca Coscioni e la Sindaca di Perugia Vittoria Ferdinandi, che ha espresso solidarietà a Laura e attenzione al tema dei diritti di fine vita.

Laura Santi commenta: “Grazie di cuore a tutte e tutti per la vicinanza e il sostegno che sto ricevendo in questa campagna. È un gesto importante di civiltà e rispetto per la libertà di scelta. Chiedo a ogni cittadina e cittadino umbro di firmare: basta un documento di identità, andare al tavolo e compilare il modulo. È un’azione semplice, ma può cambiare davvero le cose. Sono certa che raggiungeremo rapidamente le 3.000 firme necessarie, e sono convinta che riusciremo a raccoglierne molte di più”.

↓ LA VIDEO DICHIARAZIONE DI LAURA SANTI E MARCO CAPPATO↓

youtube.com/embed/lesn6soZM7g?…

La dichiarazione di Marco Cappato: “Oggi Laura ha lanciato la raccolta firme in Umbria sulla legge liberi subito. Servono 3.000 persone che chiedono alla Regione finalmente delle regole che diano tempi certi di garanzia di risposta alle persone malate che chiedono l’aiuto alla morte volontaria senza soffrire. Questo diritto già esiste perché lo ha stabilito la Corte Costituzionale ma non viene attuato in Italia e quindi essendo responsabilità del sistema sanitario e quindi anche delle regioni con Laura, a fianco a Laura, grazie a Laura chiediamo alla Regione Umbria di approvare questa legge. Lo possiamo fare come cittadini e cittadine firmando la legge liberi subito”.

L'articolo Parte da Perugia la campagna “Liberi Subito” in Umbria proviene da Associazione Luca Coscioni.