A manufacturer gets hit with ransomware. A hospital too. Learn how Threatlocker stops these types of attacks. This episode is brought to you by Threatlocker.
In early 2025, security researchers uncovered a new malware family named Webrat. Initially, the Trojan targeted regular users by disguising itself as cheats for popular games like Rust, Counter-Strike, and Roblox, or as cracked software. In September, the attackers decided to widen their net: alongside gamers and users of pirated software, they are now targeting inexperienced professionals and students in the information security field.
Distribution and the malicious sample
In October, we uncovered a campaign that had been distributing Webrat via GitHub repositories since at least September. To lure in victims, the attackers leveraged vulnerabilities frequently mentioned in security advisories and industry news. Specifically, they disguised their malware as exploits for the following vulnerabilities with high CVSSv3 scores:
In the Webrat campaign, the attackers bait their traps with both vulnerabilities lacking a working exploit and those which already have one. To build trust, they carefully prepared the repositories, incorporating detailed vulnerability information into the descriptions. The information is presented in the form of structured sections, which include:
Overview with general information about the vulnerability and its potential consequences
Specifications of systems susceptible to the exploit
Guide for downloading and installing the exploit
Guide for using the exploit
Steps to mitigate the risks associated with the vulnerability
Contents of the repository
In all the repositories we investigated, the descriptions share a similar structure, characteristic of AI-generated vulnerability reports, and offer nearly identical risk mitigation advice, with only minor variations in wording. This strongly suggests that the text was machine-generated.
The Download Exploit ZIP link in the Download & Install section leads to a password-protected archive hosted in the same repository. The password is hidden within the name of a file inside the archive.
The archive downloaded from the repository includes four files:
pass – 8511: an empty file, whose name contains the password for the archive.
payload.dll: a decoy, which is a corrupted PE file. It contains no useful information and performs no actions, serving only to divert attention from the primary malicious file.
rasmanesc.exe (note: file names may vary): the primary malicious file (MD5 61b1fc6ab327e6d3ff5fd3e82b430315), which performs the following actions:
Escalate its privileges to the administrator level (T1134.002).
Disable Windows Defender (T1562.001) to avoid detection.
Fetch from a hardcoded URL (ezc5510min.temp[.]swtest[.]ru in our example) a sample of the Webrat family and execute it (T1608.001).
start_exp.bat: a file containing a single command: start rasmanesc.exe, which further increases the likelihood of the user executing the primary malicious file.
The execution flow and capabilities of rasmanesc.exe
Webrat is a backdoor that allows the attackers to control the infected system. Furthermore, it can steal data from cryptocurrency wallets, Telegram, Discord and Steam accounts, while also performing spyware functions such as screen recording, surveillance via a webcam and microphone, and keylogging. The version of Webrat discovered in this campaign is no different from those documented previously.
Campaign objectives
Previously, Webrat spread alongside game cheats, software cracks, and patches for legitimate applications. In this campaign, however, the Trojan disguises itself as exploits and PoCs. This suggests that the threat actor is attempting to infect information security specialists and other users interested in this topic. It bears mentioning that any competent security professional analyzes exploits and other malware within a controlled, isolated environment, which has no access to sensitive data, physical webcams, or microphones. Furthermore, an experienced researcher would easily recognize Webrat, as it’s well-documented and the current version is no different from previous ones. Therefore, we believe the bait is aimed at students and inexperienced security professionals.
Conclusion
The threat actor behind Webrat is now disguising the backdoor not only as game cheats and cracked software, but also as exploits and PoCs. This indicates they are targeting researchers who frequently rely on open sources to find and analyze code related to new vulnerabilities.
However, Webrat itself has not changed significantly from past campaigns. These attacks clearly target users who would run the “exploit” directly on their machines — bypassing basic safety protocols. This serves as a reminder that cybersecurity professionals, especially inexperienced researchers and students, must remain vigilant when handling exploits and any potentially malicious files. To prevent potential damage to work and personal devices containing sensitive information, we recommend analyzing these exploits and files within isolated environments like virtual machines or sandboxes.
We also recommend exercising general caution when working with code from open sources, always using reliable security solutions, and never adding software to exclusions without a justified reason.
Kaspersky solutions effectively detect this threat with the following verdicts:
[Alireza Alavi] wanted to use an e-ink tablet as a Linux monitor. Why? We don’t need to ask. You can see the result of connecting an Onyx BOOX Air 2 to an Arch Linux box in the video below.
Like all good projects, this one had a false start. Deskreen sounds good, as it is an easy way to stream your desktop to a browser. The problem is, it isn’t very crisp, and it can be laggy, according to the post. Of course, VNC is a tried-and-true solution. The Onyx uses Android, so there were plenty of VNC clients, and Linux, of course, has many VNC servers.
Putting everything together as a script lets [Alireza] use the ebook as a second monitor. Using it as a main monitor would be difficult, and [Alireza] reports using the two monitors to mirror each other, so you can glance over at the regular screen for a color image, for example.
Another benefit of the mirrored screens is that VNC lets you use the tablet’s screen as an input device, which is handy if you are drawing in GIMP or performing similar tasks.
Questa volta facciamo un passo in più: proviamo a capire perché ci affezioniamo proprio a quelle peggiori e perché cambiarle produce spesso l’effetto opposto a quello desiderato.
Paris…
Il punto di partenza è un episodio di cronaca: all’interno di una combolist circolata in ambienti criminali è comparsa una coppia di credenziali che associava un indirizzo istituzionale del Louvre a una password sorprendentemente coerente con il contesto: paris – e le sue inevitabili reincarnazioni.
Partiamo dalla fine: la combo è stravecchia e la password è stata cambiata da anni.
Il riflesso mentale che l’ha prodotta, purtroppo, no. Ed è proprio quel riflesso che vale la pena osservare.
Paris – e ciò che puntualmente le cresce intorno – non nasce da distrazione né da superficialità.
Nasce perché ha senso. Il Louvre è a Parigi, l’account riguarda il Louvre, e il cervello umano fa ciò che sa fare meglio quando lo sforzo richiesto è minimo: prende il contesto e lo trasforma in soluzione. Non cerca sicurezza, ma coerenza.
La password smette di essere una chiave e diventa qualcosa che “torna”, che non disturba, che non richiede memoria né attrito.
È qui che l’aneddoto smette di essere cronaca e diventa psicologia. Una password costruita così non viene percepita come debole, ma come nostra. L’abbiamo assemblata partendo da ciò che conosciamo, e questo basta a renderla affidabile ai nostri occhi.
È l’Effetto IKEA applicato alla sicurezza: tendiamo a dare più valore a ciò che abbiamo costruito noi, anche quando è fragile.
Il problema emerge nel momento successivo, quando entra in scena il rito del Cambia Password. Se quella parola non è solo una stringa ma un piccolo equilibrio mentale, cambiarla non è un’operazione tecnica. È una rinuncia.
E la mente, davanti a una perdita, non reagisce creando qualcosa di nuovo: reagisce cercando continuità. La forma resta, cambiano i dettagli. Le varianti si moltiplicano, la sicurezza molto meno.
Il sistema chiede complessità. La mente risponde con riconoscibilità.
L’Effetto IKEA (perché difendiamo le password peggiori)
C’è un motivo se una password come paris resiste più a lungo di quanto dovrebbe. Non è tecnico. È affettivo.
In psicologia si chiama Effetto IKEA: tendiamo a dare più valore agli oggetti che abbiamo costruito noi, anche quando sono fragili, storti o palesemente migliorabili. Non perché siano migliori, ma perché raccontano il tempo e il ragionamento che ci abbiamo messo dentro.
Montare un mobile traballante e difenderlo con orgoglio è un comportamento perfettamente umano. Fare lo stesso con una password lo è ancora di più.
Una password costruita a partire dal contesto – un luogo, un ruolo, un’associazione evidente – non viene vissuta come una scelta debole. Viene vissuta come una scelta “pensata”. L’abbiamo fatta noi, ha un senso, la riconosciamo al volo. E questo basta a farla sembrare affidabile, anche quando non lo è.
Il paradosso è che l’Effetto IKEA funziona meglio proprio dove dovrebbe fallire. Più una password è semplice, leggibile, coerente, più diventa familiare. E più diventa familiare, più facciamo fatica a metterla in discussione.
Non la valutiamo come una chiave. La trattiamo come un oggetto personale.
E quando un sistema ci suggerisce di sostituirle, la reazione istintiva non è migliorare, ma conservare: tenere la forma, aggiustare i bordi, cambiare il minimo indispensabile per poter dire di aver obbedito.
L’Effetto IKEA non ci rende ingenui. Ci rende coerenti con noi stessi.
Ed è proprio questa coerenza, così utile nella vita quotidiana, che nel digitale diventa prevedibile.
Un esempio minimo
Pensiamo a un mobile IKEA.
Lo monti la sera, quando tutti ti guardano. Segui le istruzioni, più o meno. A un certo punto manca una vite. Oppure ce n’è una di troppo, che resta lì sul tavolo a fissarti.
Il mobile alla fine sta in piedi. Un po’ storto. Un’anta non chiude perfettamente.
La famiglia lo guarda in silenzio. Qualcuno chiede: “È normale?”
E a quel punto difenderlo diventa inevitabile.
Con le password succede la stessa cosa.
Una password costruita a partire dal contesto nasce spesso così: qualcosa manca, qualcosa avanza, ma “funziona”. Non è elegante, non è robusta, ma è nostra. Ci abbiamo messo le mani, il tempo, il ragionamento minimo necessario per farla stare in piedi.
Ed è questo l’Effetto IKEA applicato alla sicurezza: non diamo valore a una password perché è solida, ma perché l’abbiamo assemblata noi, anche se traballa.
E quando qualcuno ci dice che va cambiata, la prima reazione non è rifarla. È difenderla. O, al massimo, stringere meglio una vite.
Cambia Password (il rito che promette ordine)
A questo punto entra in scena il rito. Quello che tutti conoscono e nessuno ama: Cambia Password.
Arriva puntuale, come una circolare aziendale o una notifica che non puoi ignorare. Non chiede se la password sia stata compromessa. Non chiede se ci sia stato un problema. Chiede solo di cambiarla. Perché è scaduta. Perché lo dice la policy. Perché si fa così.
E non chiede una password qualsiasi.
La vuole lunga.
Con numeri.
Con simboli.
Con maiuscole.
Non quelli che vuoi tu, quelli giusti. E possibilmente abbastanza diversa dalle ultime.
A quel punto la password smette definitivamente di essere una chiave e diventa un oggetto da ricordare. Un peso cognitivo.
Ed è qui che scatta il vero ragionamento, quello che nessuna policy contempla: “Se devo ricordarmela, allora tanto vale usarla per tutto.”
Social.
App.
Account secondari.
Il supermercato.
Qualsiasi cosa non sembri vitale in quel momento. Non lo facciamo per incoscienza, ma per economia.
La password diventa un investimento. Se è complessa, la ammortizzo. Se mi costa memoria, la riuso. E così quella stessa stringa comincia a girare, a depositarsi, a comparire dove non dovrebbe.
Prima o poi finisce in una combolist. Non perché qualcuno abbia colpito il sistema giusto, ma perché l’ho portata io in giro abbastanza a lungo.
E infatti la nostra amata paris… A quel punto non c’è rito che tenga. Non è più una password. È un souvenir digitale.
Il sistema crede di aver introdotto complessità. La mente ha introdotto superficie di attacco.
E quando un design confonde la fatica con la sicurezza, il risultato non è protezione. È solo un’altra vite stretta sullo stesso mobile storto.
Prossima puntata
Nella prossima puntata faremo un altro passo avanti. Lasceremo perdere per un momento le password e guarderemo il problema dal punto di vista del design.
Perché c’è un’idea sbagliata, molto diffusa, secondo cui la sicurezza dovrebbe essere comoda, fluida, invisibile. E invece funziona quasi sempre al contrario.
Parleremo di attrito, di sistemi che si fanno sentire, di autenticazioni che “rompono le palle” – francesismo improprio, ma dopo paris ce lo possiamo concedere – perché stanno facendo il loro lavoro.
Se finora il problema sembrava l’utente, la prossima volta toccherà chiedersi se non sia il progetto ad aver sbagliato bersaglio.
Parleremo anche di come si può ridurre il peso cognitivo senza abbassare la sicurezza: usando passphrase e costruendo password che funzionano davvero per chi le deve usare.
L’analisi che segue esamina il vettore di attacco relativo alla CVE-2025-47761, una vulnerabilità individuata nel driver kernel Fortips_74.sys utilizzato da FortiClient VPN per Windows. Il cuore della problematica risiede in una IOCTL mal gestita che permette a processi user-mode non privilegiati di interagire con il kernel, abilitando una primitiva di scrittura arbitraria di 4 byte.
La falla è stata individuata il 31 gennaio 2025 da Alex Ghiotto, membro della community di Hackerhood. Sebbene la patch correttiva sia stata integrata già a settembre 2025 con il rilascio della versione 7.4.4,
Fortinet ha formalizzato la vulnerabilità solo il 18 novembre 2025 con la pubblicazione del bollettino ufficiale FG-IR-25-112.
Questo caso studio risulta particolarmente interessante per valutare l’efficacia delle moderne mitigazioni di sistema: l’exploit si basa infatti sul reperimento dell’indirizzo kernel del token di processo, un’operazione resa complessa a partire da Windows 11 24H2. In quest’ultima versione, l’accesso a tali informazioni tramite NtQuerySystemInformation richiede ora il privilegio SeDebugPrivilege, innalzando significativamente i requisiti necessari per un attacco efficace da parte di utenti non amministratori.
Analisi Tecnica della CVE-2025-47761
Fortips_74.sys è un driver kernel utilizzato da alcune soluzioni Fortinet, tra cui FortiClientVPN. Nel corso dell’analisi del driver è emersa una vulnerabilità successivamente identificata e corretta come CVE‑2025‑47761. L’obiettivo di questo articolo è descrivere il processo di analisi che ha portato alla sua individuazione e comprenderne le principali implicazioni di sicurezza. La vulnerabilità consente una scrittura arbitraria di 4 byte in un indirizzo controllato dall’utente. Questo comportamento può causare un crash del sistema oppure essere sfruttato per ottenere una completa escalation dei privilegi.
Interagire col Driver
Quando si analizza un driver alla ricerca di una potenziale escalation dei privilegi, la prima domanda fondamentale è: chi può interagirci? Se anche utenti non privilegiati possono aprire un handle, allora vale la pena approfondire. In questo caso, il primo passo è osservare chi può interagire con Fortips_74.sys. Usando WinObj, si nota immediatamente che il driver non imposta permessi restrittivi: questo attira subito l’attenzione. Una vista più tecnica delle DACL è possibile dal kernel tramite WinDBG Il driver Fortips_74 crea infatti un device kernel senza definire DACL personalizzate, affidandosi al security descriptor di default. In pratica, qualunque processo nel sistema può aprire un handle verso il driver, compresi quelli a basso livello di integrità (come i processi sandboxati dei browser). (Su quest’ultimo punto ammetto di non aver effettuato un controllo formale per conferma.) Analizzando le DACL, risulta che SYSTEM e gli amministratori abbiano accesso completo, ma anche gli altri utenti possono comunque comunicare con il driver, seppur con permessi limitati. Questo comportamento rende il driver troppo socievole: chiunque può comunicare tramite IOCTL, e in assenza di controlli adeguati il dispatch deve essere gestito in modo estremamente rigoroso per evitare vulnerabilità.
Dispatch delle IOCTL
Prima di entrare nei dettagli specifici del driver Fortips, è utile un breve ripasso.
Le IOCTL (Input/Output Control) permettono ai processi user-mode di inviare comandi specifici ai driver. In Windows, la funzione DeviceIoControl consente di:
passare un handle al device
specificare un codice IOCTL
fornire buffer di input/output
In sostanza, è il modo per dire: “Esegui questa operazione con questi dati.” Analizzando le IOCTL del driver, una in particolare risulta sospetta: 0x12C803. Questa IOCTL utilizza METHOD_NEITHER, il più pericoloso tra i metodi previsti da Windows: il kernel passa puntatori user‑mode direttamente al driver senza alcuna validazione. È quindi responsabilità totale del driver verificare:
validità del puntatore
accessibilità
dimensione prevista
Se queste verifiche mancano, l’attaccante può passare puntatori arbitrari, inducendo il driver a leggere/scrivere memoria a cui non dovrebbe accedere. Tramite questo tool è possibile confermare che il driver utilizza direttamente la IOCTL di tipo METHOD_NEITHER. Il driver utilizza direttamente il UserBuffer fornito dal chiamante per scrivere l’output, senza alcuna copia o validazione preventiva. Questo significa che un processo user‑mode può passare un puntatore arbitrario, che il driver userà come destinazione dei dati. Senza controlli adeguati, basta un indirizzo malizioso per trasformare un semplice output in una scrittura arbitraria in kernel‑mode, con ovvie implicazioni di sicurezza.
Analisi della funzione vulnerabile
Seguendo il flusso del buffer, la funzione copia il contenuto del buffer user-mode in un buffer locale sullo stack. I primi 24 byte (0x18) vengono interpretati come:
ULONGLONG Code
ULONGLONG Size
ULONGLONG Buffer
Il campo Size non è rilevante in questa catena, mentre Code e Buffer sì. Per raggiungere il ramo vulnerabile, Code deve essere 0x63.
Dopo la copia preliminare in un buffer locale, il driver salta nella condizione interessata. A questo punto, uVar7 viene impostato a 4. Qui si trova il cuore della vulnerabilità: il driver copia 4 byte da un buffer non inizializzato all’indirizzo specificato dall’utente tramite la IOCTL. Non vi è alcun controllo o sanitizzazione. Poiché la sorgente dei dati è stack-junk, la vulnerabilità si traduce in una arbitrary 4-byte write. Specificando ad esempio l’indirizzo kernel della struttura _TOKEN, è possibile ottenere una privilege escalation. Nel mio PoC, ho modificato il token per abilitare il privilegio SeDebugPrivilege, quindi ho avviato un cmd come SYSTEM.
Avvio del driver
Per ridurre l’interazione necessaria da parte dell’utente, ho analizzato il meccanismo con cui FortiClient avvia il servizio IPSec. Il processo principale utilizza una Named Pipe per gestire la comunicazione IPC, inviando un buffer alla pipe \\Device\\NamedPipe\\FC_{6DA09263-AA93-452B-95F3-B7CEC078EB30}. All’interno del buffer sono presenti diversi campi, tra cui il nome del tunnel IPSec da inizializzare.Questa chiamata risulta sufficiente ad avviare il driver, anche senza privilegi amministrativi, condizione essenziale per la vulnerabilità. Nella versione FortiClient VPN 7.4.3.1790 è inoltre possibile creare un profilo IPSec completamente fittizio, utilizzando parametri arbitrari. Nel mio caso, per la fase di test, ho impostato un gateway remoto come “google.it”, un comportamento diverso da quanto indicato da Fortinet nel bollettino ufficiale della CVE.
Proof of Concept
Video Player
Restrizioni
Come già accennato, lo sfruttamento di questa vulnerabilità si basa sulla possibilità di ottenere l’indirizzo kernel del token associato al processo, così da poterne manipolare i privilegi. A partire da Windows 11 24H2 questo non è più possibile da un processo con Integrity Level medio tramite la tradizionale chiamata NtQuerySystemInformation, poiché ora per accedere a tali informazioni è richiesto il privilegio SeDebugPrivilege, normalmente non disponibile agli utenti non amministratori. Nel mio proof-of-concept ho sfruttato la vulnerabilità [url=https://www.redhotcyber.com/en/cve-details/?cve_id=CVE-2025-53136]CVE-2025-53136[/url], che tramite una race condition consente di ottenere il leak dell’indirizzo del _TOKEN. In questo modo il PoC rimane funzionante fino alla correzione della vulnerabilità prevista per gli aggiornamenti di agosto/settembre 2025. Al di fuori di questo caso specifico, per sfruttare la vulnerabilità su un sistema completamente aggiornato sarebbe necessario disporre di un ulteriore bug in grado di fornire il leak dell’indirizzo richiesto, poiché le protezioni introdotte nel nuovo kernel impediscono di ottenerlo direttamente.
Timeline
31-01-2025: Vulnerabilità segnalata al PSIRT di Fortinet.
19-02-2025: Vulnerabilità confermata dal PSIRT di Fortinet.
09-05-2025: Fortinet dichiara di aver risolto il problema assegnando CVE-2025-47761.
18-11-2025: Fortinet pubblica sul PSIRT il bollettino riguardante la CVE.
"Festeggiate il Natale con coraggio, lasciando che il Bambino riempia i vuoti della vita". È l’invito che mons. Benoni Ambarus, arcivescovo di Matera-Irsina e vescovo di Tricarico, rivolge in un videomessaggio ai fedeli alla vigilia delle festività.
@Notizie dall'Italia e dal mondo Esiste un sistema che, ben oltre i confini degli Stati Uniti, limita il transito, l’ingresso e la libertà di movimento di persone ritenute indesiderate perché sostengono Paesi sanzionati da Washington, come il
@Notizie dall'Italia e dal mondo Dal 2021 al 2025 almeno 816 persone sono morte violentemente nelle carceri ecuadoriane, mentre centinaia sono decedute per fame e tubercolosi. Tra stragi, militarizzazione e abbandono istituzionale, il sistema penitenziario si è
Archivists Posted the 60 Minutes CECOT Segment Bari Weiss Killed
Archivists have saved and uploaded copies of the 60 Minutes episode new CBS editor-in-chief Bari Weiss ordered be shelved as a torrent and multiple file sharing sites after an international distributor aired the episode.
The moves show how difficult it may be for CBS to stop the episode, which focused on the experience of Venezuelans deported to El Salvadorian mega prison CECOT, from spreading across the internet. Bari Weiss stopped the episode from being released Sunday even after the episode was reviewed and checked multiple times by the news outlet, according to an email CBS correspondent Sharyn Alfonsi sent to her colleagues.
“You may recall earlier this year when the Trump administration deported hundreds of Venezuelan men to El Salvador, a country most had no connection to,” the show starts, according to a copy viewed by 404 Media.
This post is for subscribers only
Become a member to get access to all content Subscribe now
@Giornalismo e disordine informativo articolo21.org/2025/12/rapido-… C’è una strage spesso dimenticata tra quelle che hanno insanguinato l’Italia dal 1969 (Piazza Fontana) ed è quella del Rapido 904, ribattezzata la strage di Natale. L’attentato al treno che il 23 dicembre 1984 era partito dalla stazione di
Nella primavera del 2025 ricorreva l’ottavo centenario della composizione di un testo noto, dalle sue prime parole, come l’Audite poverelle: l’ultima volontà del Poverello di Assisi, lasciata a Chiara, alle donne di San Damiano e alle loro seguaci sp…
l'UE sempre più "mazzolata", ma bomber Pfizer & c pensano a giocare alla guerra.
Cina: dazi sui prodotti caseari UE
A partire da domani la Cina imporrà dazi dal 21,9% al 42,7% sui prodotti lattiero caseari dell’Unione Europea. Lo ha annunciato il ministro del Commercio cinese, che ha spiegato che la misura sarà temporanea e avrà lo scopo di compensare le perdite del settore in Cina. «I prodotti lattiero-caseari importati provenienti dall’UE ricevono sussidi», ha detto il ministro. «L’industria lattiero-casearia nazionale cinese ha subito danni sostanziali ed esiste un nesso causale tra i sussidi e il danno», ha aggiunto.
@Giornalismo e disordine informativo articolo21.org/2025/12/lo-sgom… Il punto non è quanto ci piaccia o meno Askatasuna, quanto ci entusiasmino presupposto ideologico, finalità, obiettivi e metodi. Il punto è cosa deve tentare di fare la politica di fronte ad un fatto sociale così rilevante,
Podcast: Marisa Kabas on Landing Big Scoops as an Independent Journalist
Marisa Kabas is the founder of The Handbasket, an independent newsletter and website that has been breaking stories left and right about government workers, the media business, and Trump’s mass deportation campaign. Please go subscribe to The Handbasket here!
Listen to the weekly podcast on Apple Podcasts, Spotify, or YouTube. Become a paid subscriber for access to this episode's bonus content and to power our journalism. If you become a paid subscriber, check your inbox for an email from our podcast host Transistor for a link to the subscribers-only version! You can also add that subscribers feed to your podcast app of choice and never miss an episode that way. The email should also contain the subscribers-only unlisted YouTube link for the extended video version too. It will also be in the show notes in your podcast player.
Flock Exposed Its AI-Powered Cameras to the Internet. We Tracked Ourselves
I am standing on the corner of Harris Road and Young Street outside of the Crossroads Business Park in Bakersfield, California, looking up at a Flock surveillance camera bolted high above a traffic signal. On my phone, I am watching myself in real time as the camera records and livestreams me—without any password or login—to the open internet. I wander into the intersection, stare at the camera and wave. On the livestream, I can see myself clearly. Hundreds of miles away, my colleagues are remotely watching me too through the exposed feed.
Flock left livestreams and administrator control panels for at least 60 of its AI-enabled Condor cameras around the country exposed to the open internet, where anyone could watch them, download 30 days worth of video archive, and change settings, see log files, and run diagnostics. Unlike many of Flock’s cameras, which are designed to capture license plates as people drive by, Flock’s Condor cameras are pan-tilt-zoom (PTZ) cameras designed to record and track people, not vehicles. Condor cameras can be set to automatically zoom in on people’s faces as they walk through a parking lot, down a public street, or play on a playground, or they can be controlled manually, according to marketing material on Flock’s website. We watched Condor cameras zoom in on a woman walking her dog on a bike path in suburban Atlanta; a camera followed a man walking through a Macy’s parking lot in Bakersfield; surveil children swinging on a swingset at a playground; and film high-res video of people sitting at a stoplight in traffic. In one case, we were able to watch a man rollerblade down Brookhaven, Georgia’s Peachtree Creek Greenway bike path. The Flock camera zoomed in on him and tracked him as he rolled past. Minutes later, he showed up on another exposed camera livestream further down the bike path. The camera’s resolution was good enough that we were able to see that, when he stopped beneath one of the cameras, he was watching rollerblading videos on his phone.
0:00 /0:16 1×
The exposure was initially discovered by YouTuber and technologist Benn Jordan and was shared with security researcher Jon “GainSec” Gaines, who recently found numerous vulnerabilities in several other models of Flock’s automated license plate reader (ALPR) cameras. They shared the details of what they found with me, and I verified many of the details seen in the exposed portals by driving to Bakersfield to walk in front of two cameras there while I watched myself on the livestream. I also pulled Flock’s contracts with cities for Condor cameras, pulled details from company presentations about the technology, and geolocated a handful of the cameras to cities and towns across the United States. Jordan also filmed himself in front of several of the cameras on the Peachtree Creek Greenway bike path. Jordan said he and Gaines discovered many of the exposed cameras with Shodan, an internet of things search engine that researchers regularly use to identify improperly secured devices. youtube.com/embed/vU1-uiUlHTo?… After finding links to the feed, “immediately, we were just without any username, without any password, we were just seeing everything from playgrounds to parking lots with people, Christmas shopping and unloading their stuff into cars,” Jordan told me in an interview. “I think it was like the first time that I actually got like immediately scared … I think the one that affected me most was as playground. You could see unattended kids, and that’s something I want people to know about so they can understand how dangerous this is.” In a YouTube video about his research, Jordan said he was able to use footage pulled from the exposed feed to identify specific people using open source investigation tools in order to show how trivially an exposure like this could be abused. Benn Jordan Last year, Flock introduced AI features to Condor cameras that automatically zoom in on people as they walk by. In Flock’s announcement of this feature, it explained that this technology “zooms in on a suspect exiting one car, stealing an item from another, and returning to his vehicle. Every detail is captured, providing invaluable evidence for investigators.” On several of the exposed feeds, we saw Flock cameras repeatedly zooming in on and tracking random people as they walked by. The cameras can be controlled by AI or manually.
The exposure highlights the fact that Flock is not just surveilling cars—it is surveilling people, and in some cases it is doing so in an insecure way, and highlight the types of places that its Condor cameras are being deployed. Condor cameras are part of Flock’s ever-expanding quest to “prevent crime,” and are sometimes integrated with its license plate cameras, its gunshot detection microphones, and its automated camera drones.
Cooper Quintin, senior staff technologist at the Electronic Frontier Foundation, told me the behavior he saw in videos we shared with him “shows that Flock's ambitions go far beyond license-plate surveillance. They want to be a nation-wide panopticon, watching everyone all the time. Flock's goal isn't to catch stolen cars, their goal is to have total surveillance of everyone all the time."
0:00 /1:03 1×
The cameras were left not just livestreaming to the internet for anyone who could find the link, but in many cases their administrative portals were left open with no login credentials required whatsoever. On this portal, some camera settings could be changed, diagnostics could be run, and text logs of what the camera was doing were being streamed, too. Thirty days of the camera’s archive was left available for anyone to watch or download from any of the cameras that we found. We were not able to geolocate every camera that was left unprotected, but we found cameras at a New York City Department of Transportation parking lot, on a street corner in suburban New Orleans, in random cul-de-sacs, in a Lowes parking lot, in the parking lot of a skatepark, at a pool, outside a parking garage, at an apartment complex, outside a church, on a bike path, and at various street intersections around the country.
“This is not the first time we have seen ALPRs exposed on the public internet, and it won't be the last. Law enforcement agencies around the country have been all too eager to adopt mass surveillance technologies, but sometimes they have put little effort into ensuring the systems are secure and the sensitive data they collect on everyday people is protected,” Quintin said. “Law enforcement should not collect information they can’t protect. Surveillance technology without adequate security measures puts everyone’s safety at risk.”
It was not always clear which business or agency owned specific cameras that were left exposed, or what type of misconfiguration led to the exposure, though I was able to find a $348,000 Flock contract for Brookhaven, Georgia, which manages the Peachtree Creek Greenway, and includes 64 Condor cameras.
"This was a limited misconfiguration on a very small number of devices, and it has since been remedied," a Flock spokesperson told 404 Media. It did not answer questions about what caused the misconfiguration or how many devices ultimately were affected.
💡 Do you know anything else about surveillance? I would love to hear from you. Using a non-work device, you can message me securely on Signal at jason.404. Otherwise, send me an email at jason@404media.co.
In response to Jordan and Gaines’ earlier research on vulnerabilities in other Flock cameras, Flock CEO Garrett Langley said in a LinkedIn post that “The Flock system has not been hacked. We secure customer data to the highest standard of industry requirements, including strict industry standard encryption. Flock’s cloud storage has never been compromised.” The exposure of these video feeds is not a hack of Flock’s system, but demonstrates a major misconfiguration of at least some cameras. It also highlights a major misconfiguration in its security that persisted for at least days.
“When I was making my last video [about Flock ALPR vulnerabilities], it was almost like a catchphrase where I'd say like, ‘I don't see how it could get any worse.’ And then something would happen where you'd be like, wow, they pulled it off. They made it worse,” Jordan said. “And then this is like the ultimate one. Because this is completely unrelated [to my earlier research] and I don’t really know how it could be any worse to be honest.” In a 2023 video webinar introducing the Condor platform to police, Flock executives said the cameras are meant to be paired with their ALPR cameras and are designed to feed video to FlockOS, a police panel that allows cops to hop from camera to camera in real time across a mapped-out view of their city. In Bakersfield, which has 382 Flock cameras according to a transparency report, one of the Condor cameras we saw was located next to a mall that had at least two Flock ALPR cameras stationed at the entrances to the mall parking lot.
Kevin Cox, a Flock consultant who used to work for the Grand Prairie, Texas Police Department, said in the webinar that he built an “intel center” with a high “density” of Flock cameras in that city. “I am passionate about this because I’ve lived it. The background behind video [Condor] with LPR is rich with arrests,” he said. “That rich experience of seeing what happened kind of brings it alive to [judges]. So video combined with the LPR evidence of placing a vehicle at the scene or nearby is an incredibly game changing experience into the prosecutorial chain of events.”
“You can look down a tremendous distance with our cameras, to the next intersection and the next intersection,” he said. “The camera will identify people, what they’re wearing, and cars up to a half a mile away. It’s that good.”
0:00 /0:08 1×
Condor cameras in a Flock demo showing off its AI tracking features
In the webinar Cox pulled up a multiview panel of a series of cameras and took control of them, dragging, panning, and zooming on cameras and hopping between multiple cameras in real time. Cox suggested that police officers could either use Flock’s cameras to pinpoint a person at a place and time and then use it to request “cell tower dumps” from wireless companies, or could use cell GPS data to then go into the Flock system to track a person as they moved throughout a city. “If you can place that person’s cell phone and then the Condor video and Falcon LPR evidence, it would be next to impossible to beat that in court,” he said, adding that some towns may just want to have always-on, always recording video of certain intersections or town squares. “There’s endless endless uses to what we can do with these things.”
On the webinar, Seth Cimino, who was a police officer at the Citrus Heights, California police department at the time but now works directly for Flock, told participants that officers in his city enjoyed using the cameras to zoom in on crimes.
“There is an eagerness amongst our staff that are logged in that have their own Flock accounts to be able to monitor our ALPR and pan tilt zoom Condor cameras throughout the community, to a point where sometimes our officers are beating dispatch with the information,” he said. “If there’s an incident that occurs at a specific intersection or a short distance away where our Condor cameras can zoom in on that area, it allows for real time overwatch […] as I sit here right now with you—how cool is this? We just had a Flock alert here in the city. I mean, it just popped up on my screen!”
Oggi, nella cattedrale “Assunzione della Beata Vergine Maria” a Sofia, sede dei cattolici di rito bizantino, è stato validato il francobollo giubilare in occasione del 100° anniversario dell’arrivo di mons.
youtube.com/@masspiratesSteve and James discuss a new bipartisan effort to sunset CDA Section 230, a Trump DOJ memorandum the claims recording ICE agents is violence and wish you all a happy holidays on our last pirate news for 2025.
“In questi ultimi decenni, la crisi della fiducia nella Chiesa suscitata dagli abusi commessi da membri del clero, che ci riempiono di vergogna e ci richiamano all’umiltà, ci ha reso ancora più consapevoli dell’urgenza di una formazione integrale che…
“Mentalità efficientista” e “quietismo”. Sono queste, per il Papa, le due tentazioni opposte da cui i preti devono guardarsi “nel nostro mondo contemporaneo, caratterizzato da ritmi incalzanti e dall’ansia di essere iperconnessi, che ci rende spesso …
‼️La vicenda di David McBride rappresenta un caso emblematico nella discussione sul whistleblowing, ossia il coraggio di denunciare crimini o comportamenti illeciti all’interno di strutture di potere, e la ragion di Stato che tende a proteggere tale …
Sarvarov era capo dell’Ufficio di Addestramento Operativo delle Forze Armate della Federazione Russa, una posizione chiave nello Stato Maggiore militare del Paese.
eccoci... considerato che siamo già al limite per l'elevato numero di oggetti in orbita, e potrebbe bastare anche solo una tempesta solare a provocare il disastro, ecco a voi, signori e signori, la tecnologia che cancellerà l'accesso allo spazio (con tutte le ricadute e i benefici tecnologici evidenti) per l'umanità per 2-3 secoli... grazie alla famosa sindrome di Kessler....
Il #GarantePrivacy europeo (GEPD) ha pubblicato il suo ultimo TechDispatch , una serie di articoli che forniscono analisi dettagliate su nuove tecnologie e tendenze. Questo numero si concentra sui Digital Identity Wallet (DIW) e su come possiamo garantire che rimangano conformi ai principi di protezione dei dati.
(segui l'account @Privacy Pride per avere gli ultimi aggiornamenti sulla #privacy e la gestione dei dati personali)
Un DIW consente agli utenti di archiviare in modo sicuro dati di identità e credenziali in un repository digitale, consentendo l'accesso ai servizi sia nel mondo fisico che in quello digitale. Intitolata "Il percorso verso un approccio di protezione dei dati by design e by default", la nuova pubblicazione è una lettura essenziale per decisori politici e professionisti che desiderano garantire che lo sviluppo di DIW, come il futuro Portafoglio Europeo di Identità Digitale (EUDIW) , aderisca ai principi di Privacy by Design e by Default.
Per saperne di più sulle raccomandazioni del GEPD per un quadro normativo sull'identità digitale sicuro e rispettoso della privacy,
The idea behind a Digital Identity Wallet (DIW) is to provide users with an easy way to store their identity data and credentials in a digital repository.
@Notizie dall'Italia e dal mondo Le dimissioni dell’11 dicembre non sono un incidente ma l’esito di una crisi che dura dal 2020. Proteste, corruzione, inflazione, ingresso nell’euro e scontro istituzionale si innestano su un sistema incapace
#NoiSiamoLeScuole questa settimana è dedicato a due nuove scuole, la “Falcone-Borsellino” di Monterenzio (BO) e la “Mustica” di Santa Sofia d’Epiro (CS) che, con i fondi del #PNRR finalizzati alla costruzione di nuove scuole, sono state demolite e ri…
#NoiSiamoLeScuole questa settimana è dedicato a due nuove scuole, la “Falcone-Borsellino” di Monterenzio (BO) e la “Mustica” di Santa Sofia d’Epiro (CS) che, con i fondi del #PNRR finalizzati alla costruzione di nuove scuole, sono state demolite e ri…
Il bilancio del 2025 in cinque articoli: in quello di oggi l’anno del presidente statunitense, che ha sovvertito l’ordine mondiale ma fatica a imporsi. Leggi
Negli anni il settore spaziale è passato da ambito specialistico, quasi esclusivamente istituzionale, a terreno centrale della competizione economica e tecnologica nonché dominio di contrasto militare. Questa trasformazione, spesso sintetizzata nel mondo civile
Maurizio Pratelli – Scendo prima del capolinea freezonemagazine.com/articoli/… Nel suo secondo romanzo, Maurizio Pratelli mette a punto, in modo piuttosto convincente, la propria capacità di narratore e lo stile di scrittura portando in scena un protagonista in bilico tra il peso del passato e la ricerca di un futuro ancora possibile. Andrea, soffocato da un lavoro che non sente suo e da una […] L'articolo Maurizio Pratelli – Scendo prima
La vicenda di David McBride rappresenta un caso emblematico nella discussione sul whistleblowing, ossia il coraggio di denunciare crimini o comportamenti illeciti all’interno di strutture di potere, e la ragion di Stato che tende a proteggere tale potere a scapito della giustizia e dei diritti umani. McBride, ex capitano dell’Esercito britannico e avvocato militare dell’Esercito australiano, […]
Riceviamo e pubblichiamo: Mentre il mondo celebra le festività natalizie e la fine dell’anno, i cittadini di Gaza vivono queste giornate nel modo più doloroso: accompagnando i propri cari verso l’ultimo saluto nei cimiteri. Nella giornata di ieri, sette civili hanno perso la vita nel quartiere di Al-Tuffah, nella parte orientale della città di Gaza, a seguito di bombardamenti israeliani che hanno colpito una scuola trasformata in centro di accoglienza per sfollati, già costretti a fuggire dalle loro abitazioni a causa dei continui attacchi. Dal 11 ottobre scorso, data di entrata in vigore della tregua, oltre 400 cittadini di Gaza sono stati uccisi, in quella che appare come una violazione continua e sistematica della tregua firmata a Sharm El-Sheikh, in Egitto. Questi eventi confermano il grave e persistente calpestamento dei diritti umani fondamentali della popolazione civile. La popolazione di Gaza ha urgente bisogno di aiuto umanitario: ha bisogno dell’apertura dei valichi, di tende, di medicine, di cibo, di acqua potabile e di protezione. Non ha bisogno di bombe che continuano a spezzare vite e distruggere famiglie. I cittadini gazawi chiedono semplicemente ciò che spetta a ogni essere umano: la possibilità di vivere in sicurezza, di proteggere i propri figli e di accogliere il nuovo anno in pace, come ogni altro popolo del mondo. Il silenzio e l’inazione della comunità internazionale di fronte a questa tragedia rappresentano una grave responsabilità morale e politica. È tempo di agire, di fermare la violenza e di garantire una reale protezione ai civili. 20/12/2025 Associazione dei Palestinesi in Italia (API)
Riceviamo e pubblichiamo:
Mentre il mondo celebra le festività natalizie e la fine dell’anno, i cittadini di Gaza vivono queste giornate nel modo più doloroso: accompagnando i propri cari verso l’ultimo saluto nei cimiteri.
L'escalation continua quando il Presidente Trump ha annunciato il 10 dicembre, due giorni dopo la cerimonia del Nobel, che gli scioperi degli Stati Uniti sarebbero "iniziati via terra.
per la brexit mi dispiace solo per gli scozzesi. e l'irlanda del nord. la scozia ha fatto un referendum per uscire dal regno unito ed ha votato no solo perché fuoriuscendo dal regno unito si sarebbe trovata fuori dalla UE e il regno unito avrebbe posto sicuramente un veto per farla entrare come singola nazione. ma poi il regno unito è uscito e la loro scelta si è rivelata, a posteriori, sbagliata 🙁
posso chiederti come ti trovi con questo sistema operativo? Le app android classiche ci sono? O sono insatallabili? Intendo cose come le app delle banche, soprattutto.
@🇪🇺 Il Simone Viaggiatore ✈️🧳 Le applicazioni ci sono. Lo store di /e/OS è essenzialmente un ponte con il Play Store di Google e F-Droid per quelle FOSS. L'unica applicazione che non sono riuscito a far funzionare, finora, è PosteID per lo SPID. Le altre app per banche/pagamenti/governative son riuscito a farle funzionare con relativamente poco sbatti.
ci ho "giocato" per qualche giorno, e in generale mi è piaciuto, salvo il fatto che per l'interfaccia hanno voluto scopiazzare iOs (ma quello si rimedia).
Apprezzabile il fatto che di default google non c'è, ma si riesce a fare praticamente tutto. Bella la VPN integrata.
Per i miei scopi immediati preferisco Lineage (l'ho reinstallato) ma nonneacludo di usarlo prima o poi su altri telefoni.
@🇪🇺 Il Simone Viaggiatore ✈️🧳 L'interfaccia non piace neanche a me, ma l'ho rimpiazzata subito con il launcher che mi fa da miglior compromesso.
Sono neofita... ho scelto /e/OS perché mi dava l'idea (credo a ragione) di essere una derivata #LineageOS preconfigurata anche con MicroG e con accesso alle app del PlayStore e perché mi permetteva di ri-bloccare il boot-loader.
Ho speso circa sedici anni su #Ubuntu per poi passare alla sua origine #Debian; magari ci metterò meno a passare da /e/OS a #LineageOS?! 😄
mi vedi Viaggiatore ma di mestiere vivo di informatica.
Hai ragione, Lineage non ti da MicroG di default e ti pone subito di fronte a una scelta: installare le app di Google (e allora diventa un android qualunque) oppure no. In questo caso potrebbe servire MicroG che va aggiunto, e ogni app che si appoggia ai servizi google potrebbe fare problemi, anche se potresti usare ovviamente le app open Source. Insomma, in quel caso ogni scelta va calibrata e tentata, dipende da caso a caso. 👇🏻
il mio consiglio è di tenere e OS se non ti da difficoltà, hai già un sistema de-googlizzato di default, e con MicroG. Le prestazioni sono di tutto rispetto.
Io lo userò su alcuni vecchi cellulari, mentre su quello di riserva che uso in viaggio ho voluto mettere lineage+app google, perché avendo un canale YouTube le app che ho trovato su eOS non funzionavano benissimo per i miei scopi, ma solo per quello!
The HandbasketMarisa Kabas
The HandbasketMarisa Kabas
The HandbasketMarisa Kabas
Benn Jordan
Kami
in reply to Andrea Russo • • •