LOVE L38 PARADE

Quartiere Laurentino 38 - Quartiere Laurentino 38
(sabato, 14 febbraio 16:00)

14 febbraio 2026

Love L38 Parade
Perché l'amore è un'altra cosa

Resistiamo agli sgomberi e alla speculazione
Costruiamo relazioni di solidarietà e libere dal patriarcato

Segnati la data e organizziamo insieme la street parade in maschera al Laurentino 38

roma.convoca.la/event/love-l38…

È stata scoperta una serie di vulnerabilità nel popolare ecosistema di distributori automatici di cibo per animali domestici Petlibro. Nel peggiore dei casi, queste vulnerabilità consentivano a un aggressore di accedere all’account di qualcun altro, accedere ai dati degli animali domestici e controllare i dispositivi collegati, modificando persino i programmi di alimentazione e il funzionamento della videocamera.

Il ricercatore che ha pubblicato l’analisi afferma che l’azienda ha rapidamente risolto alcuni dei problemi, ma la falla principale nel meccanismo di accesso all’account di terze parti è rimasta attiva per oltre due mesi “per motivi di compatibilità” ed è stata disattivata solo dopo la pubblicazione.

Secondo l’autore, l’indagine è iniziata con un’analisi dell’app mobile Petlibro, utilizzata dai proprietari di mangiatoie, abbeveratoi e altri dispositivi IoT intelligenti per animali domestici. Tali dispositivi vengono spesso installati in casa e utilizzati da remoto, ad esempio per dare da mangiare a un gatto o a un cane durante i viaggi.

Ecco perché eventuali errori nei controlli di autorizzazione e accesso sono particolarmente sensibili in questo caso: non stiamo parlando solo di dati, ma del controllo effettivo sul dispositivo e sulla vita della persona.

Il ricercatore cita come principale scoperta un bypass dell’autenticazione in uno degli scenari di accesso “social”. Il problema, descrive, era che il server non verificava la validità del token OAuth , ma si fidava dei dati inviati dal client.

Di conseguenza, conoscendo gli identificatori pubblici, era possibile ottenere una sessione di lavoro per il profilo di qualcun altro. L’azienda afferma di aver aggiunto un nuovo meccanismo più sicuro, ma ha mantenuto il vecchio e vulnerabile percorso per la “compatibilità legacy“, in attesa che la maggior parte degli utenti aggiornasse l’app.

L’autore spiega poi che la catena si è evoluta verso la privacy e il controllo dell’hardware. L’ API , descrive, conteneva metodi che restituivano i dati dell’animale tramite ID senza verificare che la richiesta fosse stata effettuata dal proprietario. Ciò consentiva di ottenere il profilo dell’animale: nome, data di nascita, peso, parametri di attività e appetito, foto e associazione con il proprietario. Utilizzando questi stessi dati, sostiene il ricercatore, si poteva accedere alle informazioni del dispositivo (inclusi gli identificatori tecnici) e quindi eseguire azioni disponibili al proprietario: modificare le impostazioni, avviare manualmente l’alimentazione, gestire le pianificazioni e, per i modelli dotati di telecamera, accedere al flusso video.

L’autore sottolinea anche il rischio di fuga di dati personali: alcuni dispositivi consentono di registrare messaggi vocali che vengono riprodotti a un animale domestico durante l’alimentazione. A suo avviso, gli identificatori di tali registrazioni erano prevedibili e l’associazione della registrazione al dispositivo non era sufficientemente sicura, consentendo l’accesso ai file audio di altre persone.

Un altro scenario che descrive è la possibilità di aggiungersi come “proprietario condiviso” del dispositivo di qualcun altro attraverso un metodo di condivisione non sicuro.

La storia riguardava anche un conflitto sulle “regole del gioco” per il ricercatore. Secondo la cronologia dell’autore, egli ha segnalato i problemi il 5 novembre 2025, ha ricevuto conferma di accettazione e un’offerta di ricompensa di 500 dollari, dopodiché l’azienda, dopo avergli fornito le informazioni di pagamento, gli ha inviato una lettera di riservatezza e gli ha ripetutamente chiesto di firmarla. Il ricercatore sostiene di non aver accettato in anticipo l’accordo di riservatezza e di essersi rifiutato di firmarlo, sottolineando che l’approccio unilaterale “loro hanno inviato i soldi, quindi ho accettato” non funziona.

Al 4 dicembre, Petlibro ha riferito che “la maggior parte” delle vulnerabilità era stata risolta e che il bypass delle autorizzazioni era stato “corretto nell’ultima versione dell’app“, ma la l’App “obsoleta” vulnerabile ha continuato a funzionare per diverse settimane.

Per gli utenti, la conclusione è semplice: se si utilizza Petlibro (o qualsiasi dispositivo IoT simile), è necessario aggiornare l’app e il firmware alle versioni più recenti e prestare maggiore attenzione all’accesso tramite social network e all’accesso condiviso ai dispositivi. Per i produttori, il caso ricorda ancora una volta che la “compatibilità” non dovrebbe essere una scusa per mantenere funzionalità pericolose quando si tratta di autorizzazione e controllo remoto dei dispositivi domestici.

L'articolo La mangiatoia del gatto ti sta spiando? I bug di sicurezza vanno oltre le semplici CAM proviene da Red Hot Cyber.

Incontro con l'autore

Brusnengo - Sala Incontri del Municipio di Brusnengo - Brusnengo, via Chioso 46
(sabato, 10 gennaio 16:00)

Francesca Mautino ci racconta le avventure di Valentina detective per caso

caosbi.eu/event/incontro-con-l…

Pizza Benefit + Djset!

Gigi Piccoli - Via Caroto, 1
(domenica, 4 gennaio 11:00)

Pizza Benefit spese legali inguiat* con la legge

a seguire Djset con The Beat Brothers e ANM & Friends

rebaltela.org/event/pizza-bene…

Bluetooth is everywhere, but it’s hard to inspect. Most of the magic is done inside a Bluetooth controller chip, accessed only through a controller-specific Host-Controller Interface (HCI) protocol, and almost everything your code does with Bluetooth passes through a binary library that speaks the right HCI dialect. Reverse engineering these libraries can get us a lot more control of and information about what’s going on over the radio link.

That’s [Anton]’s motivation and goal in this reversing and documentation project, which he describes for us in this great talk at this year’s Chaos Communication Congress. In the end, [Anton] gets enough transparency about the internal workings of the Bluetooth binaries to transmit and receive data. He stops short of writing his own BT stack, but suggests that it would be possible, but maybe more work than one person should undertake.

So what does this get us? Low-level control of the BT controller in a popular platform like the ESP32 that can do both classic and low-energy Bluetooth should help a lot with security research into Bluetooth in general. He figured out how to send arbitrary packets, for instance, which should allow someone to write a BT fuzzing tool. Unfortunately, there is a sequence ID that prevents his work from turning the controller into a fully promiscuous BT monitor, but still there’s a lot of new ground exposed here.

If any of this sounds interesting to you, you’ll find his write-up, register descriptions, and more in the GitHub repository. This isn’t a plug-and-play Bluetooth tool yet, but this is the kind of groundwork on a popular chip that we expect will enable future hacking, and we salute [Anton] for shining some light into one of the most ubiquitous and yet intransparent corners of everyday tech.

hackaday.com/2025/12/30/39c3-l…

La Cybersecurity and Infrastructure Security Agency (CISA) ha ufficialmente lanciato l’allarme su una vulnerabilità critica in MongoDB, aggiungendo la falla al suo catalogo delle vulnerabilità note sfruttate (KEV).

Questa mossa conferma che il bug, denominato “MongoBleed“, viene attivamente sfruttato dagli hacker per rubare dati sensibili dai server di tutto il mondo. Il difetto è grave. Deriva da una “gestione impropria dell’incoerenza dei parametri di lunghezza” nell’uso della libreria di compressione zlib da parte del database.

I ricercatori di sicurezza di Ox Security hanno chiarito il funzionamento della vulnerabilità, la quale deriva dalla tendenza di MongoDB a restituire il volume di memoria allocata durante l’elaborazione dei comunicati di rete, anziché le dimensioni effettive dei dati decompressi.

La vulnerabilità , identificata come CVE-2025-14847, ha un punteggio di gravità pari a 8,7 e colpisce un’ampia gamma di versioni di MongoDB Server, dalle installazioni legacy alle release più recenti.

L’intervento della CISA fa seguito alle segnalazioni di abusi diffusi. L’agenzia ha avvertito che “questo tipo di vulnerabilità è un frequente vettore di attacco per i malintenzionati e rappresenta un rischio significativo per l’attività federale”.

L’elenco delle versioni interessate è ampio e copre anni di release:

• MongoDB dalla versione 8.2.0 alla 8.2.3
• MongoDB dalla versione 8.0.0 alla 8.0.16
• MongoDB dalla versione 7.0.0 alla 7.0.26
• MongoDB dalla versione 6.0.0 alla 6.0.26
• MongoDB dalla versione 5.0.0 alla 5.0.31
• MongoDB dalla versione 4.4.0 alla 4.4.29
• Tutte le versioni 4.2, 4.0 e 3.6.

Secondo Censys, una piattaforma dedicata alla scoperta di risorse connesse a Internet, al 27 dicembre erano oltre 87.000 le istanze MongoDB potenzialmente vulnerabili esposte alla rete Internet pubblica.

Questa incoerenza strutturale consente a un malintenzionato di trasmettere un “messaggio malformato che dichiara una dimensione decompressa esagerata”, ingannando così il server e inducendolo a riservare un buffer di memoria espandibile. Successivamente, il server restituisce inavvertitamente il contenuto di questa memoria non inizializzata all’avversario.

Sfruttando questa falla, gli aggressori sono in grado di raccogliere da remoto segreti, credenziali e altri dati riservati da un’istanza MongoDB esposta, ottenendo un’estrazione completa senza la necessità di autenticazione.

MongoDB ha risolto la vulnerabilità 10 giorni fa e invita tutti gli amministratori ad aggiornare immediatamente a una “versione sicura”. Le versioni corrette sono:

• 8.2.3
• 8.0.17
• 7.0.28
• 6.0.27
• 5.0.32
• 4.4.30.

Fortunatamente, i clienti che utilizzano MongoDB Atlas, il servizio multi-cloud completamente gestito dell’azienda , hanno ricevuto la patch automaticamente e non devono intraprendere alcuna azione.

L'articolo Allarme CISA per vulnerabilità critica in MongoDB: MongoBleed è sotto attacco proviene da Red Hot Cyber.

Respinta l’impugnazione “totale” contro la legge toscana. La Corte conferma il ruolo del Servizio sanitario e richiama il Parlamento alle proprie responsabilità

Con la sentenza 204 del 2025 la Corte costituzionale ha respinto l’impostazione del Governo che chiedeva di cancellare integralmente la legge della Regione Toscana sul suicidio medicalmente assistito.

La Consulta ha chiarito che le Regioni possono intervenire per organizzare il Servizio sanitario e rendere effettivi i diritti già riconosciuti dalla sentenza n. 242 del 2019, anche in assenza di una legge nazionale sul fine vita, respingendo le censure rivolte contro l’intero impianto della legge toscana.

Scrivono i giudici della Corte costituzionale nella sentenza che “Conviene, in proposito, sgomberare subito il campo dalla censura mossa all’intera legge reg. Toscana n. 16 del 2025 di violazione della competenza legislativa statale esclusiva in materia di ordinamento penale. Tale censura è, in effetti, infondata. (cf. Considerato in diritto)” e, continuano, “la legge regionale impugnata, nel suo complesso, disciplina l’attività che il Servizio sanitario regionale è tenuto a svolgere secondo l’ordinamento vigente, così come conformato dai principi ordinamentali enunciati dalle suddette sentenze di questa Corte. Sotto questo profilo, essa non introduce dunque alcun nuovo livello essenziale di assistenza, né modifica la corrispondente disciplina statale (cfr. Considerato in diritto)”.

Le dichiarazioni di illegittimità riguardano solo singoli profili che non mettono in discussione né il perimetro dei diritti delle persone malate né l’obbligo delle strutture pubbliche di dare attuazione ai principi costituzionali già stabiliti.

In particolare, la Corte ha precisato che alcune disposizioni sono state dichiarate illegittime nella parte in cui fissavano per legge regionale scansioni temporali rigide, ritenendo che tali aspetti non possano essere cristallizzati in una fonte normativa regionale.

Si tratta tuttavia di rilievi di natura tecnica che non escludono né il dovere del Servizio sanitario di rispondere alle richieste delle persone, né la necessità che le amministrazioni sanitarie operino comunque in tempi certi, ragionevoli e compatibili con la tutela della dignità e della salute dei pazienti.

Filomena Gallo e Marco Cappato, Segretaria e Tesoriere dell’Associazione Luca Coscioni, promotrice di “Liberi Subito”:

“Il Governo ha tentato di bloccare tutto, ma la Corte costituzionale ha detto no. È stato confermato che i diritti sul fine vita non possono essere congelati dall’inerzia politica: le Regioni possono e devono organizzare il Servizio sanitario per renderli effettivi.

Questa sentenza smonta definitivamente la strategia del rinvio permanente. Con la decisione depositata oggi, la Consulta ha inoltre smentito in modo esplicito i Consigli regionali della Lombardia e del Piemonte, che avevano invocato una pregiudiziale di costituzionalità come alibi per non discutere la legge di iniziativa popolare “Liberi Subito”, una legge che in Toscana è stata invece discussa, emendata e approvata. Mentre il Parlamento discute testi che escludono il Servizio sanitario nazionale, la Corte ha ribadito con chiarezza che è proprio il Servizio sanitario nazionale il presidio indispensabile per garantire legalità, controllo e pari diritti, assicurando risposte concrete alle persone”.

L'articolo Sulla legge toscana sul Fine vita, la Corte smentisce il Governo: le Regioni possono agire sui diritti nel fine vita proviene da Associazione Luca Coscioni.

Consigliere dell’Associazione Luca Coscioni ha trasformato la sua condizione di gravissima disabilità in strumento di lotta per diritti e libertà civili

Lo speciale di Agenda Coscioni su Severino Mingroni

È morto Severino Mingroni, attivista storico per i diritti delle persone con disabilità gravissima, consigliere e militante dell’Associazione Luca Coscioni. Aveva 65 anni. Dal 1995 viveva con la sindrome locked-in, conseguenza di una trombosi all’arteria basilare che lo aveva reso tetraplegico e muto, ma pienamente cosciente.

“Sono una persona, un essere umano, nonostante le apparenze. Dal 22 ottobre 1995 la mia vita è diventata un inferno, un incubo reale, ma grazie a Internet e agli ausili informatici posso ancora comunicare, scrivere e partecipare alla vita. Voglio vivere con dignità e autonomia, avere diritto alla Vita Indipendente, alla gestione della mia assistenza e ai bisogni affettivi, inclusa la dimensione sessuale, che non deve essere ignorata. La mia battaglia è per tutti i disabili gravi: essere riconosciuti, rispettati, liberi di scegliere e autodeterminare la propria vita. La scrittura è la mia voce, il mio mezzo per rivendicare diritti, libertà e dignità, affinché le persone non siano giudicate solo dalle loro apparenze.”

Grazie agli ausili informatici, in particolare all’headmouse, Severino aveva riconquistato la possibilità di comunicare e partecipare alla vita pubblica. La scrittura è diventata il suo strumento di libertà, relazione e impegno politico. “Sono una persona, un essere umano, nonostante le apparenze”, scriveva, rivendicando il diritto a essere riconosciuto come cittadino a pieno titolo.

Per oltre trent’anni Severino si è battuto per la Vita Indipendente, per il diritto all’autonomia delle persone con disabilità grave, all’assistenza personale autogestita e all’accesso agli ausili tecnologici necessari per comunicare e vivere. È stato una voce lucida e radicale contro ogni forma di assistenzialismo e infantilizzazione della disabilità.

Tra le sue battaglie più coraggiose e controcorrente vi è stata quella per il riconoscimento dell’assistenza sessuale come parte integrante del diritto alla salute e alla dignità della persona. Severino ha denunciato senza ipocrisie la negazione della dimensione affettiva e sessuale delle persone disabili, rompendo un tabù culturale profondo e chiedendo al legislatore di colmare un vuoto che produce solitudine, sofferenza e discriminazione.

Fondamentale è stato anche il suo impegno sul biotestamento. Severino ha contribuito in modo determinante alla battaglia per l’approvazione delle Disposizioni Anticipate di Trattamento, rivendicando il diritto di ogni persona a decidere in anticipo sui trattamenti sanitari che la riguardano. Per lui il rispetto della volontà individuale era il cuore di una medicina davvero rispettosa della persona.

Il ricordo di Mina Welby, Filomena Gallo e Marco Cappato co-presidente, Segretaria nazionale e Tesoriere dell’Associazione Luca Coscioni:

“Severino è stato capace di lottare e resistere decenni in condizioni nelle quali non molti avrebbero retto anche solo pochi mesi. La sua storia rappresenta una lotta esemplare per la vita, la libertà e l’autodeterminazione. Intellettualmente rigoroso, ironico e spesso spietatamente onesto, ha trasformato una condizione di estrema costrizione fisica in una battaglia lunga e coraggiosa. La sua voce, affidata alla tecnologia e alle parole, resta una testimonianza potente di diritti civili e dignità umana.“

Ricordano ancora Cappato, Welby e Gallo: “avevamo una chat su WhatsApp con cui comunicavamo e Severino partecipava attivamente ad iniziative per una effettiva vita indipendente affinché ogni ostacolo burocratico per cure, assistenza e partecipazione alla vita del paese fosse eliminato per persone che come lui vivevano con una condizione che impediva l’uso del corpo in ogni azione della sua giornata”.

I funerali si terranno a Casoli. Alla sorella Gianna, ai familiari e a tutte le persone che lo hanno assistito e accompagnato in questi anni, va un abbraccio affettuoso, Severino ci mancherà, tutte le iniziative con lui intraprese continueranno anche nel suo nome

L'articolo E’ morto Severino Mingroni, dopo 30 anni di attivismo per i diritti delle persone con disabilità. Era affetto da sindrome di Locked-in proviene da Associazione Luca Coscioni.

VINYASA YOGA

Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano
(lunedì, 5 gennaio 19:30)

Corso all'attivo da anni e aperto a tuttə!

Un'occasione per ricontattare il corpo, spingendolo al di là del proprio limite personale per restare con la mente ben salda al presente!

A offerta libera e consapevole

Per info: Maria 3396787195

puntello.org/event/vinyasa-yog…

Odiamo Ogni Maledettissimo Lunedì

Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano
(lunedì, 5 gennaio 19:00)

Vi aspettiamo dalle 19, come ogni stramaledettissimo lunedì dell'anno con

• il "Mercatork" di frutta, verdura e autoproduzioni
• la libreria/biblioteca "Bibliotork"
• il corso di Yoga
• le prove della "Banda degli Ottoni a Scoppio"
• Cena Popolare Vegana
• Musica/Proiezioni/Presentazioni/Dibattiti (restate aggiornatx)
• Convivialità & Autogestione

In questo spazio si pratica l’autogestione come espressione di responsabilità verso se stess* e tutto ciò che ci circonda. Come uno strumento di libertà e liberazione dai canoni del consumismo, come presa in carico del benessere collettivo e del pianeta

Quindi ricordati di lavare piatto e posate nell’area lavastoviglie

Riutilizza il bicchiere e quando hai finito di usarlo mettilo nei contenitori predisposti

Non buttare rifiuti per terra, utilizza i posacenere e bidoni della raccolta differenziata

Se hai dubbi CHIEDI: il tuo interessamento sarà apprezzato e ti sentirai parte di ciò che stai vivendo. Collabora alla buona riuscita dell’esperienza per tutt*, sii rispettos* e condividi la presa bene ❤

Lasciare pulito ciò che trovi pulito è Autogestione.

Lasciare pulito ciò che trovi sporco è Cura.

Lo spazio della Cascina è accessibile alle persone con difficoltà o disabilità motorie

puntello.org/event/odiamo-ogni…

Ho già affrontato diversi lutti nella mia vita, e lo so che poi passa e ci si abitua all'assenza.. - ma porca miseria questa volta è davvero tanto difficile 💔

Intanto mi guardo Will Hunting, che so ancora a memoria, ..visto che né la brioche al pistacchio stamattina né Body Pump mi hanno aiutata a stare meglio.

#lutto #grief #willhunting #briochepistacchio

We elect our Pirate Council in February. Positions include Captain, First Officer, Quartermaster, PR/Media Director, Activism Director, Swarmwise Director, Web/Info Director, three Arbitrators and two representatives to the US Pirate Party.

If you are interested in throwing your hat in for any of these positions, nominations are open on-line until end of day Friday, January 30th. Before you do, become a member, join our activists email list, and read our Articles of Agreement and Code of Conduct.

Ballots will be sent out by February 13th and are due back by February 27th. We will use the same voting mechanism we used in our previous election. Voters will be emailed a randomly generated id that only the voter will know. Once the election is done, we will delete the ids. In this way, we can ensure that only supporters can vote, while also maintaining the secrecy of votes.

We look forward to multiple candidates for all positions.

masspirates.org/blog/2025/12/2…

L’anno che volge al termine è stato caratterizzato da tanti momenti rilevanti, non solo per la vita della Chiesa e la comunità dei fedeli. In uno scenario globale caratterizzato da conflitti, disuguaglianze e timori per il futuro della nostra casa comune, l’anno giubilare ha permesso di custodire e coltivare la speranza. Abbiamo dato l’ultimo saluto a papa Francesco, dopo 12 anni di un pontificato intenso e coraggioso, e accolto con emozione papa Leone XIV che, in continuità con il suo predecessore, ha chiesto alla nostra rivista di continuare a «cogliere lo sguardo di Cristo sul mondo, coltivarlo, comunicarlo, testimoniarlo». Accogliendo l’invito del Pontefice, vogliamo ripercorrere le riflessioni che ci hanno accompagnato lungo tutto l’anno santo, rileggendo con voi i 12 articoli più letti pubblicati nel 2025.

• Dodici anni con papa Francesco
• Il cinquantenario della morte di Hannah Arendt
• Papa Francesco ci ha lasciato
• Habemus Papam: l’elezione di papa Leone XIV
• Pier Giorgio Frassati, un giovane laico: il «San Francesco» di Torino?
• Il primo «santo del computer»: Carlo Acutis
• Il Natale come decisione
• Trump è di nuovo presidente degli Stati Uniti: come governerà?
• Il segreto di Emmaus: perché Cleopa (Lc 24,18)?
• Influencer: come influenzano?
• Come è stata scritta la dichiarazione «Nostra Aetate»
• I 1700 anni del concilio di Nicea: contesto storico, convocazione e principali decisioni

The post I 12 articoli più letti pubblicati nel 2025 first appeared on La Civiltà Cattolica.