LOVE L38 PARADE

Quartiere Laurentino 38 - Quartiere Laurentino 38
(sabato, 14 febbraio 16:00)

14 febbraio 2026

Love L38 Parade
Perché l'amore è un'altra cosa

Resistiamo agli sgomberi e alla speculazione
Costruiamo relazioni di solidarietà e libere dal patriarcato

Segnati la data e organizziamo insieme la street parade in maschera al Laurentino 38

roma.convoca.la/event/love-l38…

È stata scoperta una serie di vulnerabilità nel popolare ecosistema di distributori automatici di cibo per animali domestici Petlibro. Nel peggiore dei casi, queste vulnerabilità consentivano a un aggressore di accedere all’account di qualcun altro, accedere ai dati degli animali domestici e controllare i dispositivi collegati, modificando persino i programmi di alimentazione e il funzionamento della videocamera.

Il ricercatore che ha pubblicato l’analisi afferma che l’azienda ha rapidamente risolto alcuni dei problemi, ma la falla principale nel meccanismo di accesso all’account di terze parti è rimasta attiva per oltre due mesi “per motivi di compatibilità” ed è stata disattivata solo dopo la pubblicazione.

Secondo l’autore, l’indagine è iniziata con un’analisi dell’app mobile Petlibro, utilizzata dai proprietari di mangiatoie, abbeveratoi e altri dispositivi IoT intelligenti per animali domestici. Tali dispositivi vengono spesso installati in casa e utilizzati da remoto, ad esempio per dare da mangiare a un gatto o a un cane durante i viaggi.

Ecco perché eventuali errori nei controlli di autorizzazione e accesso sono particolarmente sensibili in questo caso: non stiamo parlando solo di dati, ma del controllo effettivo sul dispositivo e sulla vita della persona.

Il ricercatore cita come principale scoperta un bypass dell’autenticazione in uno degli scenari di accesso “social”. Il problema, descrive, era che il server non verificava la validità del token OAuth , ma si fidava dei dati inviati dal client.

Di conseguenza, conoscendo gli identificatori pubblici, era possibile ottenere una sessione di lavoro per il profilo di qualcun altro. L’azienda afferma di aver aggiunto un nuovo meccanismo più sicuro, ma ha mantenuto il vecchio e vulnerabile percorso per la “compatibilità legacy“, in attesa che la maggior parte degli utenti aggiornasse l’app.

L’autore spiega poi che la catena si è evoluta verso la privacy e il controllo dell’hardware. L’ API , descrive, conteneva metodi che restituivano i dati dell’animale tramite ID senza verificare che la richiesta fosse stata effettuata dal proprietario. Ciò consentiva di ottenere il profilo dell’animale: nome, data di nascita, peso, parametri di attività e appetito, foto e associazione con il proprietario. Utilizzando questi stessi dati, sostiene il ricercatore, si poteva accedere alle informazioni del dispositivo (inclusi gli identificatori tecnici) e quindi eseguire azioni disponibili al proprietario: modificare le impostazioni, avviare manualmente l’alimentazione, gestire le pianificazioni e, per i modelli dotati di telecamera, accedere al flusso video.

L’autore sottolinea anche il rischio di fuga di dati personali: alcuni dispositivi consentono di registrare messaggi vocali che vengono riprodotti a un animale domestico durante l’alimentazione. A suo avviso, gli identificatori di tali registrazioni erano prevedibili e l’associazione della registrazione al dispositivo non era sufficientemente sicura, consentendo l’accesso ai file audio di altre persone.

Un altro scenario che descrive è la possibilità di aggiungersi come “proprietario condiviso” del dispositivo di qualcun altro attraverso un metodo di condivisione non sicuro.

La storia riguardava anche un conflitto sulle “regole del gioco” per il ricercatore. Secondo la cronologia dell’autore, egli ha segnalato i problemi il 5 novembre 2025, ha ricevuto conferma di accettazione e un’offerta di ricompensa di 500 dollari, dopodiché l’azienda, dopo avergli fornito le informazioni di pagamento, gli ha inviato una lettera di riservatezza e gli ha ripetutamente chiesto di firmarla. Il ricercatore sostiene di non aver accettato in anticipo l’accordo di riservatezza e di essersi rifiutato di firmarlo, sottolineando che l’approccio unilaterale “loro hanno inviato i soldi, quindi ho accettato” non funziona.

Al 4 dicembre, Petlibro ha riferito che “la maggior parte” delle vulnerabilità era stata risolta e che il bypass delle autorizzazioni era stato “corretto nell’ultima versione dell’app“, ma la l’App “obsoleta” vulnerabile ha continuato a funzionare per diverse settimane.

Per gli utenti, la conclusione è semplice: se si utilizza Petlibro (o qualsiasi dispositivo IoT simile), è necessario aggiornare l’app e il firmware alle versioni più recenti e prestare maggiore attenzione all’accesso tramite social network e all’accesso condiviso ai dispositivi. Per i produttori, il caso ricorda ancora una volta che la “compatibilità” non dovrebbe essere una scusa per mantenere funzionalità pericolose quando si tratta di autorizzazione e controllo remoto dei dispositivi domestici.

L'articolo La mangiatoia del gatto ti sta spiando? I bug di sicurezza vanno oltre le semplici CAM proviene da Red Hot Cyber.

Incontro con l'autore

Brusnengo - Sala Incontri del Municipio di Brusnengo - Brusnengo, via Chioso 46
(sabato, 10 gennaio 16:00)

Francesca Mautino ci racconta le avventure di Valentina detective per caso

caosbi.eu/event/incontro-con-l…

Pizza Benefit + Djset!

Gigi Piccoli - Via Caroto, 1
(domenica, 4 gennaio 11:00)

Pizza Benefit spese legali inguiat* con la legge

a seguire Djset con The Beat Brothers e ANM & Friends

rebaltela.org/event/pizza-bene…

Bluetooth is everywhere, but it’s hard to inspect. Most of the magic is done inside a Bluetooth controller chip, accessed only through a controller-specific Host-Controller Interface (HCI) protocol, and almost everything your code does with Bluetooth passes through a binary library that speaks the right HCI dialect. Reverse engineering these libraries can get us a lot more control of and information about what’s going on over the radio link.

That’s [Anton]’s motivation and goal in this reversing and documentation project, which he describes for us in this great talk at this year’s Chaos Communication Congress. In the end, [Anton] gets enough transparency about the internal workings of the Bluetooth binaries to transmit and receive data. He stops short of writing his own BT stack, but suggests that it would be possible, but maybe more work than one person should undertake.

So what does this get us? Low-level control of the BT controller in a popular platform like the ESP32 that can do both classic and low-energy Bluetooth should help a lot with security research into Bluetooth in general. He figured out how to send arbitrary packets, for instance, which should allow someone to write a BT fuzzing tool. Unfortunately, there is a sequence ID that prevents his work from turning the controller into a fully promiscuous BT monitor, but still there’s a lot of new ground exposed here.

If any of this sounds interesting to you, you’ll find his write-up, register descriptions, and more in the GitHub repository. This isn’t a plug-and-play Bluetooth tool yet, but this is the kind of groundwork on a popular chip that we expect will enable future hacking, and we salute [Anton] for shining some light into one of the most ubiquitous and yet intransparent corners of everyday tech.

hackaday.com/2025/12/30/39c3-l…

La Cybersecurity and Infrastructure Security Agency (CISA) ha ufficialmente lanciato l’allarme su una vulnerabilità critica in MongoDB, aggiungendo la falla al suo catalogo delle vulnerabilità note sfruttate (KEV).

Questa mossa conferma che il bug, denominato “MongoBleed“, viene attivamente sfruttato dagli hacker per rubare dati sensibili dai server di tutto il mondo. Il difetto è grave. Deriva da una “gestione impropria dell’incoerenza dei parametri di lunghezza” nell’uso della libreria di compressione zlib da parte del database.

I ricercatori di sicurezza di Ox Security hanno chiarito il funzionamento della vulnerabilità, la quale deriva dalla tendenza di MongoDB a restituire il volume di memoria allocata durante l’elaborazione dei comunicati di rete, anziché le dimensioni effettive dei dati decompressi.

La vulnerabilità , identificata come CVE-2025-14847, ha un punteggio di gravità pari a 8,7 e colpisce un’ampia gamma di versioni di MongoDB Server, dalle installazioni legacy alle release più recenti.

L’intervento della CISA fa seguito alle segnalazioni di abusi diffusi. L’agenzia ha avvertito che “questo tipo di vulnerabilità è un frequente vettore di attacco per i malintenzionati e rappresenta un rischio significativo per l’attività federale”.

L’elenco delle versioni interessate è ampio e copre anni di release:

• MongoDB dalla versione 8.2.0 alla 8.2.3
• MongoDB dalla versione 8.0.0 alla 8.0.16
• MongoDB dalla versione 7.0.0 alla 7.0.26
• MongoDB dalla versione 6.0.0 alla 6.0.26
• MongoDB dalla versione 5.0.0 alla 5.0.31
• MongoDB dalla versione 4.4.0 alla 4.4.29
• Tutte le versioni 4.2, 4.0 e 3.6.

Secondo Censys, una piattaforma dedicata alla scoperta di risorse connesse a Internet, al 27 dicembre erano oltre 87.000 le istanze MongoDB potenzialmente vulnerabili esposte alla rete Internet pubblica.

Questa incoerenza strutturale consente a un malintenzionato di trasmettere un “messaggio malformato che dichiara una dimensione decompressa esagerata”, ingannando così il server e inducendolo a riservare un buffer di memoria espandibile. Successivamente, il server restituisce inavvertitamente il contenuto di questa memoria non inizializzata all’avversario.

Sfruttando questa falla, gli aggressori sono in grado di raccogliere da remoto segreti, credenziali e altri dati riservati da un’istanza MongoDB esposta, ottenendo un’estrazione completa senza la necessità di autenticazione.

MongoDB ha risolto la vulnerabilità 10 giorni fa e invita tutti gli amministratori ad aggiornare immediatamente a una “versione sicura”. Le versioni corrette sono:

• 8.2.3
• 8.0.17
• 7.0.28
• 6.0.27
• 5.0.32
• 4.4.30.

Fortunatamente, i clienti che utilizzano MongoDB Atlas, il servizio multi-cloud completamente gestito dell’azienda , hanno ricevuto la patch automaticamente e non devono intraprendere alcuna azione.

L'articolo Allarme CISA per vulnerabilità critica in MongoDB: MongoBleed è sotto attacco proviene da Red Hot Cyber.

Il libro di Roberto Arditti è un libro interessante con una tesi univoca: il potere non si contratta, si prende e si difende con le armi. Anzi, di più, la Guerra, che si fa con le armi, è per il giornalista il vero motore della Storia, quella con la esse maiuscola. Hard Power. Perchè la Guerra cambia la storia è infatti il titolo del libro che ha pubblicato con la casa editrice conservatrice Giubilei Regnani.

L’ex direttore di Formiche, editorialista di Il Tempo di Roma, ha diviso in capitoli geografici la sua dissertazione bellico-politica e la incomincia con la Russia. Della Russia Sovietica Arditti ricorda il passato e il deterrente nucleare e poi descrive I tremendi attacchi missilistici verso l’Ucraina, l’uso di droni, la potenza della macchina bellica industriale, fino l’uso della carne da macello di giovani russi non moscoviti, galeotti e senza quattrini, nelle trincee del Donbass a morire e ammazzare i forse più istruiti e sicuramente filoeuropei ucraini. Poi racconta la Cina e Taiwan un po’ alla maniera di Lucio Caracciolo, di cui è certo debitore di parte dell’analisi, quando racconta i choke points del mar della Cina e rammenta la superiorità demografica, industriale e quindi bellica cinese che prima o poi vorrà mangiarsi Taiwan prendendo di sorpresa l’America che, sola, forse sta impedendo l’esito catastrofico per il porcospino taiwanese. E poi ci parla del Congo, del Sudan, del Rwanda, cioè delle guerre per procura fatte per impossessarsi delle preziose terre rare che rendono possibili i nostri sogni digitali, ma sempre in punta di fucile o di machete. E poi giù con Libia, Cipro, Israele.

Le cose che dice sono vere, ma non convincono completamente. O almeno non paiono sufficienti a smontare la complessa Teoria di Joseph Nye sul soft power cui Arditti si richiama per differenza e contrapposizione. E non convince per un motivo centrale, perché non considera a sufficienza l’apporto che i commerci, la diplomazia, il digitale, le reti comunicative, l’innovazione tecnologica e la cybersecurity danno sia alla pace che ai conflitti, pure quelli armati, ormai risultandone inseparabili. Nell’epoca delle reti globali, infatti, il potere non si misura più soltanto con la forza militare ma sul terreno invisibile dell’informazione, dove l’intelligence, i media, la conoscenza dell’avversario e la manipolazione dei dati determinano l’equilibrio tra le potenze. Frutto dolceamaro di un cambiamento radicale che ridefinisce la natura stessa del potere che è soft, hard, harsh, ma anche wet & cyber.

dicorinto.it/articoli/recensio…

IBM ha emesso un avviso di sicurezza urgente per gli utenti della sua piattaforma API Connect dopo che test interni hanno scoperto una falla di sicurezza che potrebbe esporre le applicazioni aziendali a intrusioni. La falla , identificata come CVE-2025-13915, è classificata come bypass di autenticazione.

IBM ha assegnato alla vulnerabilità un punteggio base CVSS di 9,8, classificandola come critica. Un’analisi del vettore di minaccia rivela il motivo di questo punteggio così elevato. La vulnerabilità , consente ad aggressori remoti di eludere i meccanismi di autenticazione senza bisogno di una password.

Secondo l’ avviso, la falla “potrebbe consentire a un aggressore remoto di aggirare i meccanismi di autenticazione e ottenere accesso non autorizzato all’applicazione”.

La vulnerabilità riguarda versioni specifiche della suite IBM API Connect. Si consiglia agli amministratori di verificare le proprie distribuzioni per le seguenti versioni:

• API Connect V10.0.8.0 tramite V10.0.8.5
• API Connect V10.0.11.0

IBM “raccomanda vivamente di risolvere la vulnerabilità ora tramite l’aggiornamento”. Il fornitore ha rilasciato correzioni provvisorie (iFix) per le versioni interessate, tra cui patch per la versione 10.0.8.x e la versione 10.0.11.

Per le organizzazioni che non possono disattivare immediatamente i sistemi per applicare la patch, IBM ha offerto una mitigazione temporanea.

Gli amministratori possono “disabilitare la registrazione self-service sul proprio Portale Sviluppatori, se abilitata”, il che, come sottolinea IBM, “aiuterà a ridurre al minimo l’esposizione a questa vulnerabilità” fino all’applicazione di una correzione permanente.

L'articolo IBM API Connect violabile senza credenziali: CVE critica da 9.8 scuote le aziende proviene da Red Hot Cyber.

Nel corso della prima metà di dicembre, un’azienda cinese impegnata nell’assemblaggio di dispositivi per Apple è stata colpita da un attacco informatico avanzato che potrebbe aver esposto informazioni sensibili legate a una linea produttiva. L’episodio è stato segnalato da DigiTimes, senza che venissero diffusi dettagli sull’identità dell’azienda coinvolta.

Apple gestisce una delle catene di fornitura più estese e complesse al mondo, un ecosistema che da tempo rappresenta un obiettivo strategico per gruppi di attaccanti interessati sia all’esfiltrazione di dati riservati sia alla possibilità di interrompere i processi industriali per ottenere un riscatto. L’incidente emerso in Cina si inserisce in questo contesto.

Secondo quanto riportato, l’assemblatore colpito collabora con Apple, ma il nome non è stato reso pubblico. Tra i possibili candidati figurano partner storici del gruppo di Cupertino come Foxconn, Wistron o Pegatron, tutti attori chiave nella produzione dei dispositivi Apple sul territorio cinese.

Le conseguenze dell’attacco non sono state chiarite nel dettaglio. Le informazioni disponibili indicano tuttavia il rischio di una compromissione di dati relativi alla linea di produzione. Si tratta di un ambito ampio, che può includere specifiche tecniche dei prodotti, dettagli su componenti non ancora annunciati o informazioni sui processi industriali. Al momento, non sono emerse conferme ufficiali su quali dati siano stati effettivamente esposti.

Pur avendo preso di mira un singolo assemblatore, l’incidente potrebbe avere ripercussioni più ampie sull’intera catena di fornitura. Secondo DigiTimes, alcuni clienti dell’azienda coinvolta avrebbero espresso preoccupazioni legate sia alla sicurezza informatica sia alla continuità delle forniture, due fattori critici in un sistema produttivo fortemente interconnesso.

La supply chain di Apple rappresenta un bersaglio di particolare interesse anche per l’impatto potenziale di eventuali interruzioni. Un attacco riuscito potrebbe infatti costringere a sospendere temporaneamente la produzione per attività di ripristino e messa in sicurezza, con conseguenze dirette sulla disponibilità dei prodotti sul mercato.

Oltre al rischio di blocco operativo, gli attacchi informatici possono essere utilizzati per ottenere informazioni riservate sul funzionamento delle pipeline produttive o sui dispositivi in fase di realizzazione. In altri casi, l’obiettivo può essere l’installazione di malware finalizzato all’estorsione, sfruttando la criticità delle linee di assemblaggio.

Precedenti di questo tipo non mancano. Nel 2018, TSMC – uno dei principali partner di Apple per la produzione di chip – fu costretta a fermare alcuni impianti dopo la diffusione di un virus che danneggiò le linee produttive. In quell’occasione, il CFO di TSMC, Lora Ho, precisò che si trattava del primo incidente informatico capace di colpire direttamente i sistemi di produzione dell’azienda.

Ancora prima, nel 2012, Foxconn subì un attacco da parte di un gruppo di hacker “greyhat” che riuscì a rendere pubbliche credenziali di accesso appartenenti a fornitori collegati all’azienda. Le informazioni divulgate avrebbero potuto essere sfruttate per attività di ingegneria sociale e ordini fraudolenti.

Nel tempo, Apple ha progressivamente rafforzato le proprie misure di sicurezza operativa, imponendo ai partner della sua catena di fornitura standard elevati in materia di protezione dei sistemi e riservatezza delle informazioni. Requisiti considerati indispensabili per poter operare all’interno di una delle filiere industriali più redditizie e controllate del settore tecnologico.

L'articolo La filiera Apple nel mirino degli hacker: incidente segnalato in Cina proviene da Red Hot Cyber.