Wait, what? Is it time for the podcast again? Seems like only yesterday that Dan joined Elliot for the weekly rundown of the choicest hacks for the last 1/52 of a year. but here we are. We had quite a bit of news to talk about, including the winners of the Component Abuse Challenge — warning, some components were actually abused for this challenge. They’re also a trillion pages deep over at the Internet Archive, a milestone that seems worth celebrating.

As for projects, both of us kicked things off with “Right to repair”-adjacent topics, first with a washing machine that gave up its secrets with IR and then with a car that refused to let its owner fix the brakes. We heated things up with a microwave foundry capable of melting cast iron — watch your toes! — and looked at a tiny ESP32 dev board with ludicrously small components. We saw surveyors go to war, watched a Lego sorting machine go through its paces, and learned about radar by spinning up a sonar set from first principles.

Finally, we wrapped things up with another Al Williams signature “Can’t Miss Articles” section, with his deep dive into the fun hackers can have with the now-deprecated US penny, and his nostalgic look at pneumatic tube systems.

html5-player.libsyn.com/embed/…

Download this 100% GMO-free MP3.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 346 Show Notes:

News:

• Congratulations To The 2025 Component Abuse Challenge Winners
• Meet The Shape That Cannot Pass Through Itself
• Internet Archive Hits One Trillion Web Pages

What’s that Sound?

• [Andy Geppert] knew that was the annoying sound of the elevator at the Courtyard by Marriot hotel in Pasadena.

Interesting Hacks of the Week:

• Reverse Engineering The Miele Diagnostic Interface
• Hyundai Paywalls Brake Pad Changes
• The Simplest Ultrasound Sensor Module, Minus The Module
  
  • Good Vibrations: Giving The HC-SR04 A Brain Transplant
  • Bend It Like (Sonar) Beacon With A Phased Array
  • Fundamentals Of FMCW Radar Help You Understand Your Car’s Point Of View

  
  

• Casting Metal Tools With Kitchen Appliances
  
  • 
    
    • Microwave Forge Casts The Sinking-est Benchy Ever
    • More Microwave Metal Casting

    
    

  
  

• Possibly-Smallest ESP32 Board Uses Smallest-Footprint Parts
  
  • Hacking A Pill Camera

  
  

• WWII Secret Agents For Science

Quick Hacks:

• Elliot’s Picks
  
  • Damn Fine (Solar Powered) Coffee
  • Humane Mousetrap Lets You Know It’s Caught Something
  • In Praise Of Plasma TVs
  • Exploring The Performance Gains Of Four-Pin MOSFETs

  
  

• Dan’s Picks:
  
  • Making A Machine To Sort One Million Pounds Of LEGO
  • The King Of Rocket Photography
  • Cheap VHF Antenna? Can Do!

  
  

Can’t-Miss Articles:

• Hackers Can’t Spend A Penny
  
  • Penny Miser Copper Coin Sorter
  • I Made a Super Simple Penny Sorter!

  
  

• Tech In Plain Sight: Pneumatic Tubes
  
  • The Safe House Milwaukee

  
  

hackaday.com/2025/11/21/hackad…

Have trouble sleeping, or getting to sleep in the first place? You’ve no doubt heard of white noise machines, but know it would be much cooler to make your own. Enter Noise Maker, a DIY sound sculpture by [optimus103733], who wanted to learn something in the process of creating.

The best thing about this sound sculpture aside from the looks is that you can not only play five different sounds (e.g. birds, traffic, water, frog, white noise), you can mix them together into a rich but relaxing cacophony.

As you can probably see from the picture, Noise Maker is based on the ESP32 and uses an SD card module, an amplifier, and five pots. Be sure to check out the pictures, because there are three layers of copper connections and a lot of careful bending to make it all come together. In the video after the break, you can hear it in action.

It seems [optimus103733] isn’t completely satisfied and wants to make a few improvements in the future, such as a voltage regulator, a power switch, and a timer to automatically stop playback once (we assume) sleep has come. Evidently the ESP32 struggles a little with mixing six audio sources, but hey, lesson learned.

Wait, why do we sleep in the first place?

youtube.com/embed/aQic2eBXzWk?…

hackaday.com/2025/11/21/sweet-…

La campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di applicazioni popolari.

Questa truffa, mascherata da software legittimo, aiuta a ingannare gli utenti e a ottenere un accesso persistente ai dispositivi. Il team Acronis sottolinea che l’attività continua: vengono scoperti nuovi file e l’infrastruttura associata rimane operativa.

Il metodo si basa sull’ingegneria sociale. Utilizza nomi di utility note, annunci con clic falsi, ottimizzazione per i motori di ricerca e falsi certificati digitali. I ricercatori Darrell Virtusio e József Gegenyi spiegano che questi elementi aumentano la fiducia negli installatori e aiutano a bypassare i meccanismi di sicurezza.

La campagna è stata soprannominata TamperedChef perché i falsi installer creati fungono da tramite per il malware omonimo. Questa attività è considerata parte di una serie più ampia di operazioni EvilAI che utilizzano esche collegate a strumenti basati sull’intelligenza artificiale.

Per dare credibilità alle app false, il gruppo di operatori utilizza certificati rilasciati a società fittizie negli Stati Uniti, a Panama e in Malesia. Quando i vecchi certificati vengono revocati, ne vengono emessi di nuovi con un nome aziendale diverso. Acronis sottolinea che questa infrastruttura assomiglia a un processo di produzione organizzato, consentendo l’emissione continua di nuove chiavi e l’occultamento di codice dannoso dietro build firmate.

È importante notare che diverse aziende hanno identificato diverse minacce sotto il nome TamperedChef: alcuni team di ricerca utilizzano la denominazione BaoLoader e il file dannoso originale con questo nome era incorporato in una falsa app di ricette sviluppata da EvilAI.

Un tipico scenario di infezione inizia con un utente che cerca manuali hardware o utility in formato PDF. I risultati contengono link pubblicitari o risultati falsificati, che rimandano a domini dell’aggressore registrati tramite NameCheap. Dopo aver scaricato ed eseguito il programma di installazione, all’utente viene presentato un contratto standard e, al termine, un messaggio di ringraziamento viene visualizzato in una nuova finestra del browser.

A questo punto, sulla macchina viene creato un file XML che incorpora nel sistema un componente JavaScript nascosto con esecuzione ritardata. Questo modulo si connette a un nodo esterno e invia gli identificatori di base del dispositivo e della sessione come pacchetto JSON crittografato e codificato tramite HTTPS.

Gli obiettivi degli operatori rimangono poco chiari. Alcune versioni del malware sono state utilizzate in campagne pubblicitarie ingannevoli, il che indica un tentativo di trarre profitto diretto. È anche possibile che l’accesso venga venduto ad altri gruppi criminali o utilizzato per raccogliere dati riservati da rivendere successivamente sui mercati ombra.

Secondo i dati di telemetria, gli Stati Uniti hanno registrato il maggior numero di infezioni. Gli attacchi hanno colpito numeri minori anche in Israele, Spagna, Germania, India e Irlanda. Le organizzazioni dei settori sanitario, edile e manifatturiero sono le più colpite. Gli esperti attribuiscono ciò al fatto che i dipendenti di queste aziende cercano regolarmente online manuali di istruzioni per attrezzature specializzate, rendendoli vulnerabili a tali trappole.

L'articolo TamperedChef: malware tramite falsi installer di app proviene da Red Hot Cyber.

Una vulnerabilità di tipo authentication bypass è stata individuata in Azure Bastion (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), il servizio gestito di Microsoft che consente connessioni RDP e SSH sicure verso macchine virtuali in Azure senza esporle direttamente a Internet.

La falla, identificata come CVE-2025-49752, permette potenzialmente a un attaccante remoto di ottenere privilegi amministrativi su tutte le VM accessibili tramite Bastion.

Dettagli tecnici

Il CVE-2025-49752 rientra nella categoria CWE-294 – Authentication Bypass by Capture-Replay, che consiste nell’intercettazione e riutilizzo di token o credenziali valide per ottenere accesso non autorizzato.

Nel caso di Azure Bastion, ciò potrebbe consentire l’escalation di privilegi a livello amministrativo, senza necessità di interazione da parte dell’utente.

La vulnerabilità è remotamente sfruttabile, non richiede privilegi preesistenti e ha un punteggio CVSS di 10.0, il massimo, poiché l’attacco può essere condotto esclusivamente via rete.

Ad oggi, non sono stati pubblicati dettagli sul codice sorgente né proof-of-concept, e non ci sono segnalazioni di sfruttamento attivo in ambiente reale.

Sistemi interessati

• Tutte le implementazioni di Azure Bastion precedenti all’aggiornamento di sicurezza rilasciato il 20 novembre 2025.
• Nessuna limitazione specifica per versione o SKU è stata indicata negli avvisi ufficiali.
• Tutte le configurazioni che utilizzano Bastion per RDP o SSH sono considerate potenzialmente vulnerabili.

Contesto storico della sicurezza Microsoft Azure

Nel 2025, Microsoft Azure ha già affrontato altre vulnerabilità critiche di escalation privilegi, tra cui:

• CVE-2025-54914 – Azure Networking, CVSS 10.0
• CVE-2025-29827 – Azure Automation, CVSS 9.9
• CVE-2025-55241 – Azure Entra ID, CVSS 9.0

Microsoft mantiene un ciclo mensile di aggiornamenti e ha avviato l’iniziativa Secure Future per rafforzare la sicurezza nello sviluppo dei servizi cloud. Nonostante questi sforzi, vulnerabilità di autenticazione e escalation di privilegi continuano a emergere in diversi servizi Azure.

Cos’è Azure Bastion

Azure Bastion è un servizio gestito da Microsoft che consente agli utenti di connettersi in modo sicuro a macchine virtuali (VM) su Azure tramite RDP (Remote Desktop Protocol) o SSH, senza esporre le VM direttamente a Internet. Grazie a questa soluzione, le aziende possono ridurre significativamente i rischi di attacchi esterni e proteggere le credenziali di accesso.

Azure Bastion agisce come ponte sicuro tra l’utente e la macchina virtuale. L’accesso avviene tramite il portale Azure, utilizzando una connessione crittografata. Questo elimina la necessità di aprire porte pubbliche sulle VM, riducendo il rischio di intrusioni.

Azure Bastion è ampiamente adottato da organizzazioni che necessitano di un accesso amministrativo sicuro alle VM, in contesti come: sviluppo software, ambienti di test, gestione di server cloud e supporto IT remoto.

L'articolo Bug critico da score 10 per Azure Bastion. Quando RDP e SSH sul cloud sono in scacco matto proviene da Red Hot Cyber.

Anno 2017.

….RITENUTA quindi l’infondatezza della notizia di reato in quanto gli elementi acquisiti nelle indagini preliminari non appaiono idonei a sostenere l’accusa in giudizio, visti gli artt. 408/411 c.p.p., 125 D.Lv. 271/89 CHIEDE che il Giudice per le indagini preliminari in sede voglia disporre l’archiviazione del procedimento e ordinare la conseguente restituzione degli atti al proprio ufficio. Milano, 2 maggio 2017.

IL PROCURATORE DELLA REPUBBLICA Tiziana Siciliano – sost. Sara Arduini

Anno 2023.

D’altronde la stessa Corte di Cassazione recentemente ha stabilito che: “Non integra il reato di alterazione di stato previsto dall’art. 567 comma 2 c.p., la trascrizione in Italia di un atto di nascita legittimamente formato all’estero, non potendosi considerare ideologicamente falso il certificato conforme alla legislazione del paese di nascita del minore, neppure nel caso in cui la procreazione sia avvenuta con modalità non consentite in Italia….., per tali motivi, ritenuto quindi che la notizia di reato è infondata; visti gli artt. 408/411 c.p.p., 125 d.lgs. n. 271/1989, chiede che il Giudice per le indagini preliminari in sede voglia disporre l’archiviazione del procedimento e ordinare la conseguente restituzione degli atti all’ufficio in intestazione.

IL PUBBLICO MINISTERO

Anno 2025.

Sussistono i presupposti di legge per l’archiviazione del procedimento penale in epigrafe. …..Ciò che è emerso è la presenza di THC ma senza indicare una percentuale, per cui, essendo lecita la vendita di cannabis sativa purché con un contenuto di THC inferiore allo 0,6%, potrebbe operare una causa di esclusione dell’antigiuridicità”.

Da qui l’istanza della Procura “di disporre l’archiviazione del procedimento” (artt. 408, 411 c.p.p.).

Anno 2025.

Nel secondo anniversario della morte di Sibilla Barbieri, avvenuta in Svizzera, la Procura della Repubblica di Roma ha notificato all’avvocata Filomena Gallo, difensore degli indagati Marco Cappato, Vittorio Parpaglioni e Marco Perduca, l’avviso di richiesta di archiviazione per l’autodenuncia presentata dai tre dopo aver aiutato la regista romana ad accedere alla morte assistita volontaria.

La richiesta di archiviazione riguarda l’ipotesi di “aiuto al suicidio”, in seguito all’iniziativa dei tre esponenti dell’Associazione Luca Coscioni, che avevano accompagnato Sibilla Barbieri in Svizzera nel 2023, dopo il rifiuto della ASL 1 di Roma di autorizzare la procedura in Italia. Spetterà ora al giudice per le indagini preliminari (GIP) decidere se accogliere la richiesta della Procura o disporre un’udienza per valutare un’eventuale imputazione coatta. Solo dopo la pubblicazione delle motivazioni del Pubblico Ministero sarà possibile comprendere le basi giuridiche della richiesta di archiviazione.

E così via.

Gli esempi citati sono di richieste di archiviazione da parte di chi rappresenta l’accusa nel processo penale in Italia. È un fenomeno molto frequente: il 64% (quasi 2 su tre) dei procedimenti che escono dalle procure dopo la fine delle indagini preliminari non va a giudizio ma viene archiviato.

Ciò che caratterizza l’accusatore italiano così spesso descritto come un mastino, è in realtà una prima importante funzione di garanzia per l’Imputato. Se non convinto della colpevolezza l’accusatore, [il pubblico ministero (P.M.)] la cui carriera si vuole ora separare da quella dei giudici, è libero di chiedere il proscioglimento e spesso lo fa, proprio perché la cultura in cui si è formato ed opera è quella di capire come sono davvero andate le cose. Non di ottenere una condanna.

In altre parole, nell’ordinamento attuale e salvo eccezioni che sempre esistono, il P.M. prima di esser un accusatore è un magistrato che cerca di capire. Perdere tale cultura e formazione non farà bene alla giustizia. E soprattutto se il P.M. divenisse dipendente dagli indirizzi governativi (p.es su temi come i diritti civili perseguiti negli esempi) potrebbe trovarsi in difficoltà a chiedere un’archiviazione qualora lo ritenesse necessario.

Il Ministro Nordio afferma che finché ci sarà lui come Ministro della Giustizia, questo rischio di riduzione dell’indipendenza del P.M. non si porrà. E bisogna credergli. Ma una volta scardinate le funzioni di garanzia affidate agli accusatori dalla Costituzione e protette dai complessi meccanismi di revisione della Carta costituzionale, la graduale sottoposizione di quei magistrati accusatori al Governo potrebbe facilmente diventare possibile con leggi ordinarie, votabili dal Parlamento in seduta singola da semplici maggioranze parlamentari del 51% su indicazione di qualunque futuro Presidente del Consiglio e/o Ministro della Giustizia.

Per ammissione degli stessi proponenti, la legge 253 del 30 ottobre 2025 sulla separazione delle carriere poco o nulla contribuirà a rendere la giustizia più efficace e veloce. Cosa questa sì, più che mai urgente per noi tutti. Visto che una giustizia che arriva tardi non è mai vera giustizia.

Le misure per ottenerla sono note e richieste da anni a tutti i governi ma da nessuno di questi ultimi mai messe in opera come si dovrebbe. Suggerendo ciò che una giustizia rapida ed efficace interessa a (troppo) pochi.

1. Piante organiche a completamento (magistrati, cancellieri e personale amministrativo)
2. Ambienti (Uffici, Aule) adeguati
3. Strumenti informatici adeguati, sottoposti a manutenzione regolare ed interventi tecnici tempestivi
4. Più multe e misure alternative, meno carcere
5. Condizioni carcerarie adeguate ad un paese civile
6. Residenze per l’Esecuzione delle Misure di Sicurezza (REMS) adeguate ad un paese civile
7. Limite ad accusa e difesa di parole scritte per tipologia di reato e posizione esaminata
8. Limite ad accusa e difesa di tempo di arringa per tipologia di reato e posizione esaminata
9. Limite ad accusa e difesa della possibilità di impugnazione ai soli casi più gravi (con pene previste più alte), rendendo le decisioni di primo grado subito definitive per quelli meno gravi (con pene previste più basse)

Senza fare questo, la velocità dei processi non cambierà e la separazione dei P.M. dai giudici non farà altro che diminuire le garanzie per i cittadini. Per questo io voterò NO al referendum confermativo.

L'articolo Per il garantismo proviene da Associazione Luca Coscioni.

You may have noticed that large pieces of the Internet were down on Tuesday. It was a problem at Cloudflare, and for once, it wasn’t DNS. This time it was database management, combined with a safety limit that failed unsafe when exceeded.

Cloudflare’s blog post on the matter has the gritty details. It started with an update to how Cloudflare’s ClickHouse distributed database was responding to queries. A query of system columns was previously only returning data from the default database. As a part of related work, that system was changed so that this query now returned all the databases the given user had access to. In retrospect it seems obvious that this could cause problems, but it wasn’t predicted to cause problems. The result was that a database query to look up bot-management features returned the same features multiple times.

That featurelist is used to feed the Cloudflare bot classification system. That system uses some AI smarts, and runs in the core proxy system. There are actually two versions of the core proxy, and they behaved a bit differently when the featurelist exceeded the 200 item limit. When the older version failed, it classified all traffic as a bot. The real trouble was the newer Rust code. That version of the core proxy threw an error in response, leading to 5XX HTTP errors, and the Internet-wide fallout.

Dangling Azure

There’s a weird pitfall with cloud storage when a storage name is used and then abandoned. It’s very much like what happens when a domain name is used and then allowed to expire: Someone else can come along and register it. Microsoft Azure has its own variation on this, in the form of Azure blob storage. And the folks at Eye Security’s research team found one of these floating blobs in an unexpected place: In Microsoft’s own Update Health Service.

The 1.0 version of this tool was indeed exploitable. A simple payload hosted on one of these claimed blob endpoints could trigger an explorer.exe execution with an arbitrary parameter, meaning trivial code execution. The 1.1 version of the Update Health Service isn’t vulnerable by default, requiring a registry change before reaching out to the vulnerable blob locations. That said, there are thousands of machines looking to these endpoints that would be vulnerable to takeover. After the problem was reported, Microsoft took over the blob names to prevent any future misuse.

BADAUDIO

There’s a new malware strain from APT24, going by the name BADAUDIO. Though “new” is a bit of a misnomer here, as the first signs of this particular malware were seen back in 2022. What is new is that Google Threat Intelligence reporting on it. The campaign uses multiple techniques, like compromising existing websites to serve the malware in “watering hole” attacks, to spam and spearphishing.

Notable here is how obfuscated the BADAUDIO malware loader is, using control flow flattening to resist analysis. First consider how good code uses functions to group code into logical blocks. This technique does the opposite, putting code into blocks randomly. The primary mechanism for execution is DLL sideloading, where a legitimate application is run with a malicious DLL in its search path, again primarily to avoid detection. It’s an extraordinarily sneaky bit of malware.

Don’t Leave The Defaults

There’s an RCE (Remote Code Execution) in the W3 Total Cache WordPress plugin. The vulnerability is an eval() that can be reached by putting code in a page to be cached. So if a WordPress site allows untrusted comments, and has caching enabled, there’s just one more hurdle to clear. And that is the W3TC_DYNAMIC_SECURITY value, which seems to be intended to stave off exactly this sort of weakness. So here’s the lesson, don’t leave this sort of security feature default.

Not a Vulnerability

We have a trio of stories that aren’t technically vulnerabilities. The first two are in the mPDF library, that takes HTML code and generates PDFs — great for packaging documentation. The first item of interest in mPDF is the handling of @import css rules. Interestingly, these statements seem to be evaluated even outside of valid CSS, and are handled by passing the URL off to curl to actually fetch the remote content. Those URLs must end in .css, but there’s no checking whether that is in a parameter or not. So evil.org/?.css is totally valid. The use of curl is interesting for another reason, that the Gopher protocol allows for essentially unrestricted TCP connections.

The next quirk in mPDF is in how .svg files are handled. Specifically, how an image xlink inside an svg behaves, when it uses the phar:// or php:// prefixes. These are PHP Archive links, or a raw php link, and the mPDF codebase already guards against such shenanigans, matching links starting with either prefix. The problem here is that there’s path mangling that happens after that guard code. To skip straight to the punchline, :/phar:// and :/php:// will bypass that filter, and potentially run code or leak information.

Now the big question: Why are neither of those vulnerabilities? Even when one is a bypass for a CVE fix from 2019? Because mPDF is only to be used with sanitized input, and does not do that sanitization as part of its processing. And that does check out. It’s probably the majority of tools and libraries that will do something malicious if fed malicious input.

There’s one more “vulnerable” library, esbuild, that has an XSS (Cross Site Scripting) potential. It comes down to the use of escapeForHTML(), and the fact that function doesn’t sanitize quotation marks. Feed that malicious text, and the unescaped quotation mark allows for plenty of havoc. So why isn’t this one a vulnerability? Because the text strings getting parsed are folder names. And if you can upload an arbitrary folder to the server where esbuild runs, you already have plenty of other ways to run code.

Bits and Bytes

There’s another Fortinet bug being exploited in the wild, though this one was patched with FortiWeb 8.0.2. This one gets the WatchTowr treatment. It’s a path traversal that bypasses any real authentication. There are a couple of validation checks that are straightforward to meet, and then the cgi_process() API can be manipulated as any user without authentication. Ouch.

The Lite XL text editor seems pretty nifty, running on Windows, Linux, and macOS, and supporting lua plugins for extensibility. That Lua code support was quite a problem, as opening a project would automatically run the .lua configuration files, allowing direct use of os.execute(). Open a malicious project, run malicious code.

And finally, sometimes it’s the easy approach that works the best. [Eaton] discovered A Cracker Barrel administrative panel built in React JS, and all it took to bypass authentication was to set isAuthenticated = true in the local browser. [Eaton] started a disclosure process, and noticed the bug had already been fixed, apparently discovered independently.

Dogfooding is usually a good thing: That’s when a company uses their own code internally. It’s not so great when it’s a cloud company, and that code has problems. Oracle had this exact problem, running the Oracle Identity Governance Suite. It had a few authentication bypasses, like the presence of ?WSDL or ;.wadl at the end of a URL. Ah, Java is magical.

hackaday.com/2025/11/21/this-w…

Across Europe, a new concept known as chat scanning has entered the public debate. Supporters claim it will protect children from online harm. Chat control is formally part of the Child Sexual Abuse Regulation (CSAR), aimed at combating CSAM (child sexual abuse material). However, many experts, privacy groups, and digital rights advocates warn that it poses a greater risk for everyone who uses a phone, especially young people who message daily.

What is chat scanning?

In simple terms, it is a system that checks your private messages before or as soon as you send them. The app you use would need to scan your texts, photos, or videos and determine whether they seem suspicious. If the scanner thinks something is “unsafe,” it can report the sender, even if the message was completely innocent.

This means the scanning occurs within your phone, not on a server elsewhere. Every typed or uploaded message is checked before it reaches a friend or family member. It is like having a digital security guard watching over your shoulder every time you write something personal.

For digital rights advocates, including the Pirate Party, this raises a serious concern: privacy is not something that can be switched on and off. Once a system is built to monitor everyone’s conversations, it becomes a permanent gateway to surveillance. It does not take much for such tools to be expanded, misused, or accessed by actors who do not have the public’s interest at heart.

Why Chat Control Is a Real Threat

Chat control systems are not theoretical risks. Automated scanners genuinely make mistakes. They often cannot understand teenage slang, humour, or personal images. A tool meant to protect vulnerable users can easily turn into one that falsely accuses innocent people. Meanwhile, determined bad actors can simply switch to apps that do not follow these rules, while ordinary citizens remain under constant monitoring.

This approach also weakens secure communication. End-to-end encryption is designed to protect everyone from hackers, identity theft, and even misuse of state power. Scanning messages before they are encrypted breaks that protection. Instead of keeping society safe, it exposes activists, families, journalists, and children to new dangers.

The Ripple Effect on Democracy

If chat controls become law with a full majority, the long-term consequences could spread slowly but deeply. The ripple effect would impact multiple pillars of democracy.

Privacy Erosion

What begins as limited scanning to target harmful content can gradually expand to include most users. When every message is subject to scrutiny, personal privacy is the first casualty.

Overwhelmed Law Enforcement

A flood of false positives would strain police resources. German experts who reviewed the proposal warned that law enforcement would be unable to handle the volume of inaccurate reports. This waste of time and energy increases the risk of people being wrongly investigated or prosecuted, ultimately making the public less safe.

Chilling of Free Expression

Journalists, activists, and vulnerable groups may start to self-censor because they no longer trust their communication channels. When private conversations feel monitored, open dialogue becomes rare.

Decline in Civic Participation

As trust in institutions weakens, people may disengage from democratic processes. Press freedom declines, and political debate becomes less open.

Shift in Social Norms

Over time, society may begin to accept the idea that monitoring private digital spaces is normal. Such a shift can alter the social contract itself, making surveillance an everyday expectation rather than an exception.

This is how a policy introduced in the name of protection can gradually erode the foundations of democracy.

Are there safer alternatives?

There are better ways to keep communities safe. Targeted investigations, stronger reporting channels, improved child protection services, and investment in digital literacy can genuinely support vulnerable groups without breaking the fundamental right to private communication.

Europe should not accept a future where every phone becomes a checkpoint. Safety should be built on rights, not surveillance. Protecting children and protecting privacy are not opposing goals. With smart policy and responsible technology, the EU can and must do both.

european-pirateparty.eu/why-ch…

BIBLIOTECA UNIVERSITARIA ALESSANDRINA ~ APERTURA STRAORDINARIA

𝐁𝐈𝐁𝐋𝐈𝐎𝐓𝐄𝐂𝐀 𝐔𝐍𝐈𝐕𝐄𝐑𝐒𝐈𝐓𝐀𝐑𝐈𝐀 𝐀𝐋𝐄𝐒𝐒𝐀𝐍𝐃𝐑𝐈𝐍𝐀 ~ 𝐀𝐏𝐄𝐑𝐓𝐔𝐑𝐀 𝐒𝐓𝐑𝐀𝐎𝐑𝐃𝐈𝐍𝐀𝐑𝐈𝐀

𝐒𝐀𝐁𝐀𝐓𝐎 𝟮𝟵 𝗡𝗢𝗩𝗘𝗠𝗕𝗥𝗘 𝟮𝟬𝟮𝟱 𝒐𝒓𝒆 𝟭𝟔:𝟑𝟬 ~ 𝑺𝒂𝒍𝒂 𝑩𝒊𝒐-𝒃𝒊𝒃𝒍𝒊𝒐𝒈𝒓𝒂𝒇𝒊𝒄𝒂

La 𝐁𝐢𝐛𝐥𝐢𝐨𝐭𝐞𝐜𝐚 𝐔𝐧𝐢𝐯𝐞𝐫𝐬𝐢𝐭𝐚𝐫𝐢𝐚 𝐀𝐥𝐞𝐬𝐬𝐚𝐧𝐝𝐫𝐢𝐧𝐚 𝐬𝐚𝐛𝐚𝐭𝐨 𝟐𝟗 𝐧𝐨𝐯𝐞𝐦𝐛𝐫𝐞 a partire dalle ore 𝟭𝟔:𝟑𝟬 ospiterà l’incontro 𝐃𝐈𝐀𝐋𝐎𝐆𝐇𝐈 𝐓𝐑𝐀 𝐁𝐈𝐁𝐋𝐈𝐎𝐓𝐄𝐂𝐀𝐑𝐈, durante il quale avverrà la presentazione del volume 𝙍𝙖𝙘𝙘𝙤𝙣𝙩𝙞 𝙁𝙡𝙪𝙩𝙩𝙪𝙖𝙣𝙩𝙞 di 𝐏𝐚𝐨𝐥𝐚 𝐌𝐚𝐝𝐝𝐚𝐥𝐮𝐧𝐨.

Dialogheranno con l’𝐀𝐮𝐭𝐫𝐢𝐜𝐞 il Direttore della Biblioteca 𝐃𝐚𝐧𝐢𝐞𝐥𝐚 𝐅𝐮𝐠𝐚𝐫𝐨 e 𝐑𝐨𝐬𝐚𝐧𝐧𝐚 𝐕𝐢𝐬𝐜𝐚, bibliotecaria.

#biblioteca#library#cultura#roma#CulturalHeritage#libri#libros#books#eventi#roma#paolamaddaluno#raccontifluttuanti

alessandrina.cultura.gov.it/%f…

È stato appena pubblicato il fascicolo gennaio-giugno 2025 della serie Musica a stampa della Bibliografia nazionale italiana.

Per i fascicoli precedenti e per le altre serie rimandiamo alla pagina BNI dedicata.

L'articolo BNI Musica – Primo semestre 2025 proviene da Biblioteca nazionale centrale di Firenze.

FOR IMMEDIATE RELEASE:

Independent news outlet Status Coup reported yesterday that federal immigration agents threatened its reporter, Jon Farina, with arrest for following and filming them, despite well-established First Amendment protections for newsgathering and, specifically, for recording law enforcement.

Border Patrol officers cited a federal statute barring impeding or interference with law enforcement operations, which is entirely inapplicable to Farina filming from a distance. It’s the latest in a series of worrying incidents where politicians and federal agents claim that routine reporting on immigration enforcement is somehow illegal.

Freedom of the Press Foundation’s Director of Advocacy Seth Stern said:

“Americans have a constitutional right to record law enforcement doing their jobs in public and are fully entitled to follow police in order to exercise that right. That right is by no means exclusive to reporters, but it’s especially egregious for law enforcement officers not to recognize that journalists are allowed to document what they’re up to.

“Video of the incident makes clear that the reporters were not in any way obstructing or impeding officers in violation of federal law. They were recording from a distance. It looks like these officers believe transparency itself is obstructive to their operations, which is a pretty good indicator that their operations are in need of obstruction. We’ve repeatedly seen video footage expose misconduct and lies by federal agents. The First Amendment is intended to obstruct government abuses.

“Immigration officers are placing themselves at the center of a major national controversy. Their colleagues have killed and injured people, and held them in inhumane dungeons. If they’re too thin-skinned for the public scrutiny that comes with being a part of that, they can go find a job that doesn’t involve abducting people for an authoritarian regime.”

Please contact us if you would like further comment.

freedom.press/issues/immigrati…