La Zero Day Initiative (ZDI) di Trend Micro ha annunciato una ricompensa degna da broker zeroday!

Si parla di una ricompensa senza precedenti pari ad 1.000.000 di dollari per chi riuscirà a sviluppare un exploit di esecuzione di codice remoto (RCE) zero-click contro WhatsApp durante l’edizione 2025 di Pwn2Own Ireland.

Questa taglia record, co-finanziata da Meta, segna la più alta vincita singola mai offerta nella storia del concorso e mette in evidenza quanto sia cruciale proteggere la piattaforma di messaggistica più popolare al mondo.

Punti chiave

1. Taglia record di 1 milione di dollari per un exploit zero-click su WhatsApp
2. Concorso articolato in 8 categorie; iscrizioni entro il 16 ottobre 2025
3. L’aumento della ricompensa da 300.000 a 1.000.000 di dollari riflette la crescente minaccia degli attacchi da parte di stati nazionali e attraverso l’utilizzo di spyware

Ricompense per exploit zero-click su WhatsApp

La collaborazione tra Meta e Pwn2Own Ireland 2025 segna un cambio di passo nella strategia dei big tech per incentivare la ricerca sulle vulnerabilità più critiche. Con oltre tre miliardi di utenti, WhatsApp rappresenta un obiettivo privilegiato per attori sponsorizzati da stati nazionali e gruppi APT (Advanced Persistent Threat), che puntano a comprometterla senza bisogno di alcuna interazione dell’utente.

L’incremento della taglia rispetto ai 300.000 dollari dello scorso anno testimonia l’impegno crescente di Meta nella prevenzione proattiva delle minacce più sofisticate. In particolare, il premio da un milione di dollari sarà riservato a exploit zero-click capaci di ottenere l’esecuzione completa di codice remoto.

Saranno comunque previsti premi minori per vulnerabilità che richiedono un’interazione minima o che portano solo a un’escalation di privilegi, come indicato dall’organizzazione. Questo sistema di ricompense a più livelli mira a stimolare la ricerca sull’intera superficie d’attacco dell’app, dai bug di corruzione della memoria a difetti logici nella gestione dei messaggi.

Le altre categorie del concorso

Pwn2Own Ireland 2025 si terrà a Cork dal 21 al 24 ottobre e includerà otto categorie che riflettono il panorama delle minacce moderne. Oltre alla categoria di messaggistica, i ricercatori potranno cimentarsi con:

• Nuovi attacchi tramite porta USB su dispositivi mobili, dimostrando attacchi di prossimità anche contro dispositivi bloccati;
• La categoria SOHO Smashup, che premia con 100.000 dollari e 10 punti “Master of Pwn” chi riuscirà a concatenare exploit su dispositivi di rete domestica nell’arco di 30 minuti;
• Dispositivi domestici smart, sistemi NAS di QNAP e Synology, dispositivi di sorveglianza e la tecnologia indossabile di Meta, come gli occhiali Ray-Ban e i visori Quest 3/3S.

Ogni categoria richiede exploit realistici, basati su superfici d’attacco esposte alla rete, vettori RF o scenari di prossimità.

Iscrizioni e aspettative

Le iscrizioni si chiuderanno alle ore 17:00 (ora irlandese) del 16 ottobre 2025. L’ordine delle dimostrazioni verrà stabilito tramite sorteggio. Nell’edizione 2024, Pwn2Own Ireland aveva premiato vulnerabilità per un valore complessivo di 1.066.625 dollari, riconoscendo oltre 70 exploit zero-day unici.

Con la partnership strategica di Meta e l’ampliamento delle categorie in gara, Pwn2Own Ireland 2025 promette di offrire un palcoscenico alle tecniche di exploit più avanzate, rafforzando la sicurezza globale attraverso la divulgazione responsabile delle vulnerabilità.

L'articolo WhatsApp nel mirino! Al Pwn2Own Ireland 2025, 1 milione di dollari per un exploit RCE zero-click proviene da il blog della sicurezza informatica.

😂😂😂

ilpost.it/2025/08/01/sentenza-…

Sui “paesi sicuri” l’Unione Europea ha dato torto al governo

Con una sentenza della Corte di giustizia che avrà conseguenze soprattutto sui centri in Albania, almeno fino all'anno prossimo

^{Il Post}

Despite being a readily-available source of useful plastic, massive numbers of disposable bottles go to waste every day. To remedy this problem (or take advantage of this situation, depending on your perspective) [Igor Tylman] created the PETmachine, an extruder to make 3D printer filament from PET plastic bottles.

The design of the extruder is fairly standard for such machines: a knife mounted to the frame slices the bottle into one long strip, which feeds through a heated extruder onto a spool which pulls the plastic strand through the system. This design stands out, though, in its documentation and ease of assembly. The detailed assembly guides, diagrams, and the lack of crimped or soldered connections all make it evident that this was designed to be built in a classroom. The filament produced is of respectable quality: 1.75 mm diameter, usually within a tolerance of 0.05 mm, as long as the extruder’s temperature and the spool’s speed were properly calibrated. However, printing with the filament does require an all-metal hotend capable of 270 ℃, and a dual-drive extruder is recommended.

One issue with the extruder is that each bottle only produces a short strand of filament, which isn’t sufficient for printing larger objects. Thus, [Igor] also created a filament welder and a spooling machine. The welder uses an induction coil to heat up a steel tube, inside of which the ends of the filament sections are pressed together to create a bond. The filament winder, for its part, can wind with adjustable speed and tension, and uses a moving guide to distribute the filament evenly across the spool, avoiding tangles.

If you’re interested in this kind of extruder, we’ve covered a number of similar designs in the past. The variety of filament welders, however, is a bit more limited.

Thanks to [RomanMal] for the tip!

hackaday.com/2025/08/01/turnin…

L’Ofcom sta indagando su quattro aziende, che gestiscono un totale di 34 siti pornografici, che al momento non rispettano i nuovi requisiti di controllo dell’età. L’autorità di regolamentazione ha dichiarato venerdì che più di 6.000 siti di contenuti pornografici (tra i quali PornHub, YouPorn) stanno utilizzando strumenti “altamente efficaci” per verificare o stimare se gli utenti hanno più o meno 18 anni.

Ma la Ofcom (l’ente regolatore del Regno Unito a supporto dei servizi di comunicazione) afferma che alcuni siti possono ancora ignorare le sue nuove regole, concepite per impedire ai bambini di imbattersi in contenuti pornografici o altri contenuti considerati dannosi dai legislatori. Pertanto sono state avviate delle indagini su alcune aziende che hanno complessivamente più di nove milioni di visitatori mensili.

“Queste aziende sono state classificate in base al rischio di danno rappresentato dai servizi che gestiscono e dal numero dei loro utenti”, ha affermato l’Ofcom in un comunicato stampa di giovedì. L’autorità di regolamentazione sta già indagando su una serie di piattaforme per sospetti simili. In precedenza aveva avviato indagini formali su un forum online sul suicidio , su servizi di condivisione di file e su una società che gestisce un cosiddetto sito di “nudificazione” .

“Prevediamo di fare ulteriori annunci in merito all’applicazione della legge nelle prossime settimane e nei prossimi mesi”, ha affermato l’ente regolatore.

Da quando venerdì sono entrati in vigore i requisiti di verifica dell’età, nel Regno Unito è stato chiesto alle persone di confermare la propria età su diverse piattaforme, tra cui i social media Reddit e X. Mercoledì Spotify ha confermato alla BBC che chiederà alle persone nel Regno Unito, tra cui l’Australia, di confermare la propria età se accedono a video musicali classificati come 18+ da chi li carica.

Il ministro della Tecnologia Peter Kyle ha dichiarato alla BBC Newsbeat che le nuove norme del Regno Unito applicano il “buon senso” alla regolamentazione di Internet. “Al giorno d’oggi siamo molto abituati a dimostrare la nostra età in molti ambiti diversi della vita, e ha senso che lo facciamo in modo più assertivo quando si tratta di attività online”, ha affermato.

Oltre 400.000 persone hanno firmato una petizione che chiede l’abrogazione dell’Online Safety Act, la legge che impone controlli dell’età per impedire ai bambini di accedere a contenuti per adulti. Il governo ha risposto affermando di non avere intenzione di ritirare la legge. Alcuni hanno anche criticato l’efficacia dell’implementazione da parte di Ofcom dei requisiti di controllo dell’età nel Regno Unito e il loro potenziale aggiramento tramite reti private virtuali.

Dopo l’entrata in vigore delle norme venerdì, le applicazioni che offrono servizi VPN gratuiti sono risultate essere le più scaricate nella categoria gratuita dell’App Store di Apple; tali app permettono agli utenti di celare la propria ubicazione online in modo da navigare in rete da una località differente.

L'articolo 6000 siti per adulti ora controllano l’età nel Regno Unito. La Ofcom indaga su siti privi di controllo proviene da il blog della sicurezza informatica.

These days, the personal MP3 player has been largely replaced by the the smartphone. However, [Justinas Petkauskas] still appreciates the iPod for its tactility and portability, and wanted to bring that vibe back. Enter JPL.mp3

The build is based around the ESP32-S3 microcontroller. It’s hooked up with a PCM5102 DAC hooked up over I2S to provide quality audio, along with a micro SD card interface for music storage, and a small IPS LCD. The best feature, though? The mechanical click-wheel which provides a very tactile way to scroll and interact with the user interface. Everything is assembled into a neat 3D printed case, with a custom four-layer PCB lacing all the electronics together.

On the software side, [Justinas] cooked up some custom software for organizing music on the device using a SQLite database. As he primarily listens to classical music, the software features fields for composer/piece and conductor, orchestra, or performer.

[Justinas] calls the final build “chunky, but nevertheless functional” and notes it is “vaguely reminiscent of classic iPods.” We can definitely see the fun in building your own personalized version of a much-enjoyed commercial product, for sure. Meanwhile, if you’re cooking up your own similar hardware, we’d certainly love to hear about it.

hackaday.com/2025/08/01/diy-mp…

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l’azienda ha rilasciato a Red Hot Cyber una dichiarazione ufficiale.

Il comunicato risponde alle recenti preoccupazioni sollevate dalla stampa sui bug di sicurezza rilevati nei suoi prodotti.

Dan Liu, CEO di Lovense, ha voluto rassicurare clienti e partner sull’impegno costante per la tutela della privacy e della sicurezza degli utenti attraverso un comunicato stampa che condividiamo con i nostri lettori.

Le vulnerabilità individuate

Un ricercatore di sicurezza, tramite una piattaforma di bug bounty cui Lovense partecipa dal 2018, ha identificato due specifiche vulnerabilità:

1. Esposizione di indirizzi email: un bug che poteva potenzialmente esporre gli indirizzi email associati agli account Lovense attraverso specifiche attività di rete.
2. Rischio di takeover degli account: una vulnerabilità che avrebbe potuto consentire l’accesso non autorizzato agli account tramite indirizzi email, senza necessità di password.

Importante sottolineare che queste vulnerabilità sono state scoperte in condizioni controllate e non tramite attività dannose. Di seguito viene riportato il comunicato di Lovesense nella versione integrale fornito a Red Hot Cyber.
Statement Regarding Recent Lovense Security Vulnerabilities

Statement from the CEO of Lovense

At Lovense, maintaining the trust of our customers and partners is our highest priority. We are aware of the recent report regarding security vulnerabilities disclosed by a security researcher. We want to provide clarity on the situation and outline the steps we have taken to address these concerns.

Summary of the Issue

The security researcher identified two vulnerabilities in our systems:

1. Email Address Exposure: A bug that could potentially expose email addresses associated with Lovense accounts through specific network activity.
2. Account Takeover Risk: A vulnerability that may allow unauthorized access to accounts using email addresses without requiring passwords. These vulnerabilities were discovered under controlled conditions by the researcher, who is part of a bug bounty platform we joined in 2018, and not through malicious activity.

We want to reassure our customers that:
• All identified vulnerabilities have been fully addressed.
• As of today, there is no evidence suggesting that any user data, including email addresses or account information, has been compromised or misused.

Actions Taken

• The email address exposure vulnerability has been fully resolved, and updates have been deployed to all users. Users must upgrade to the latest version to properly access all functions that may be affected by this
vulnerability. While those who do not upgrade will not face security risks, certain features will become unavailable.
• The account takeover vulnerability has been fixed following verification by our team.
• In our commitment to privacy and security, we submitted these fixes to the bug bounty platform for further independent testing to ensure the robustness of our solutions. This is standard practice to safeguard user
privacy and security.

Response to Timeframe for Fixes

To illustrate our approach, consider Lovense as a complex machine, where each component must function harmoniously for overall safety and reliability. When a faulty gear is identified, we conduct immediate repairs while evaluating the entire system to ensure all parts work together seamlessly.

Although vulnerabilities relate to email addresses, the conditions triggering those are distinct, which requires tailored solutions and thorough testing. We adopted a dual-track strategy of emergency response and long-term optimization.

The originally scheduled long term 14-month system reconstruction plan was completed significantly ahead of schedule due to the team's dedicated efforts and increased resource allocation. Reducing this comprehensive project to a simple "fixable in two days" is not only misleading but also overlooks the immense work put forth by our team.

Ensuring user safety has always been our core mission, a commitment reflected in our decision to join the HackerOne program in 2018. We are proud to be one of the earliest sex toy companies to have joined this initiative, demonstrating our dedication to user safety. We value the insights provided in the vulnerability disclosure report and appreciate the researcher’s proactive approach. However, we must clarify that any accusations of neglect regarding user safety are unfounded.

Commitment to Data Security

We regret any concern this report may have caused and remain steadfast in protecting user privacy and security. To prevent similar issues in the future, we are:

• Conducting a comprehensive review of our security practices to proactively identify and resolve potential vulnerabilities.
• Strengthening collaboration with external security researchers and platforms to enhance detection and response times.
• Proactively communicating with users about security updates to maintain transparency and trust. We will also be rolling out a statement to users about these vulnerabilities.

In response to the numerous erroneous reports online, our legal team is investigating the possibility of legal action. Thank you for your understanding and continued trust in Lovense.

Kind Regards,
Dan Liu
CEO of Lovense

Interventi e sicurezza degli utenti

Lovense ha già risolto entrambe le problematiche. In particolare:

• La vulnerabilità relativa all’esposizione degli indirizzi email è stata corretta con un aggiornamento distribuito a tutti gli utenti. Per continuare a utilizzare tutte le funzionalità, è necessario aggiornare il dispositivo all’ultima versione software. Chi non aggiorna non corre rischi di sicurezza, ma alcune funzioni potrebbero non essere disponibili.
• Il problema di takeover degli account è stato sistemato dopo verifica del team interno.

Le soluzioni implementate sono state sottoposte a ulteriori test indipendenti tramite la piattaforma bug bounty, a garanzia della robustezza delle correzioni.

Tempistiche e processo di risoluzione

Il CEO Liu spiega che Lovense ha adottato un approccio dual-track: interventi urgenti per mitigare subito i rischi e una revisione di lungo termine per ottimizzare il sistema. Il piano di ricostruzione del sistema, previsto originariamente in 14 mesi, è stato completato in anticipo grazie a risorse dedicate.

Lovense evidenzia che semplificare il lavoro a una “riparazione in due giorni” è fuorviante e non riflette il lavoro complesso svolto dal team.

Impegno costante e futuro

Lovense si dichiara orgogliosa di essere tra le prime aziende di sex tech ad aver aderito al programma HackerOne, dimostrando un impegno storico verso la sicurezza degli utenti. L’azienda è impegnata a:

• Rivedere in modo completo le pratiche di sicurezza per prevenire future vulnerabilità.
• Rafforzare la collaborazione con ricercatori esterni e piattaforme di bug bounty.
• Comunicare in modo trasparente con gli utenti riguardo agli aggiornamenti di sicurezza.

Lovense ha inoltre annunciato che intende intraprendere azioni legali contro le numerose segnalazioni errate e fuorvianti apparse online.

Conclusioni

Il CEO Dan Liu conclude chiedendo comprensione e fiducia da parte degli utenti, riaffermando che la sicurezza e la privacy restano la priorità assoluta di Lovense. Concludiamo evidenziando che anche i migliori programmi di sicurezza informatica possono presentare vulnerabilità; tuttavia, l’implementazione di un programma di bug bounty testimonia l’impegno dell’azienda verso la community hacker e una costante dedizione alla sicurezza dei propri prodotti e clienti.

L'articolo Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza proviene da il blog della sicurezza informatica.