vittoria per @noybeu - Microsoft ha ordinato di smettere di tracciare i bambini delle scuole austriache. E in Italia come funziona?
L'autorità austriaca per la protezione dei dati (DSB) ha deciso che l'azienda ha installato illegalmente dei cookie sui dispositivi di un alunno senza consenso. Secondo la documentazione fornita da Microsoft, questi cookie analizzano il comportamento degli utenti, raccolgono dati sul browser e vengono utilizzati per la pubblicità.
FPF Releases Updated Infographic on Age Assurance Technologies, Emerging Standards, and Risk Management fpf.org/blog/fpf-releases-upda… @privacy The Future of Privacy Forum is releasing an updated version of its Age Assurance: Technologies and Tradeoffs infographic, reflecting how rapidly the technical and policy landscape has evolved over the past year. As lawmakers, platforms, and regulators
Today, the European Commission has started two sets of specification proceedings to assist Google in complying with its obligations under the Digital Markets Act (‘DMA\'). The specification proceedings
Earlier, in June 2025, we took part in the workshop organised by the Commission on #Google's #DMA compliance, where we raised issues related to #interoperability.
In particular, similar problems #FreeSoftware developers are facing with #Apple, like discretionary power to deny interoperability, the lack of transparency, and anti-competitive practices.
2025 marks one year of the enforcement of the Digital Markets Act. In our input to the European Commission’s public consultation we welcome the DMA as a mi...
The @EUCommission's decision is a sign of progress in enforcing #interoperability obligations, tackling anti-competitive behaviour from these companies.
Taken together, such regulatory procedures should make interoperability effective, so #FreeSoftware developers have a chance to participate and innovate in digital markets.
An issue for many danish users of degoogled androids is that we can not access apps that use the Google Play Integrity API - typically banking related apps and some public apps, like drivers licence, MitID etc.
The API is a bad case of gatekeeping, holding people away from using safe mobile phone operating systems.
vittoria noyb: Microsoft ha ordinato di smettere di tracciare i bambini delle scuole Il DSB ha deciso che Microsoft ha illegittimamente inserito cookie di tracciamento nei dispositivi di un alunno mickey27 January 2026
Future of Privacy Forum to Honor Top Scholarship at Annual Privacy Papers for Policymakers Event fpf.org/press-releases/future-… @privacy Washington D.C. — (January 26th, 2026) — Today, the Future of Privacy Forum (FPF) — a global non-profit that advances principled and pragmatic data protection, AI, and digital governance practices — announced the winners of its 16th annual Privacy
Today, the Future of Privacy Forum (FPF) — a global non-profit that advances principled and pragmatic data protection, AI, and digital governance practices. — announced the winners of its 16th annual Privacy Papers for Policymakers (PPPM) Awards.
The @EUCommission has opened a #DSA investigation into X’s AI chatbot Grok.
In just days, its produced 3M+ non-consensual sexualised images of women &minors, turning X into an infrastructure for AI-enabled sexual abuse. Elon Musk & his company have treated the harm like a game, putting profits over people.
We welcome the EC decision: strong safeguards, independent verification, dissuasive fines, and bold EU enforcement are non-negotiable.
FOSDEM returns in 2026, once again bringing together thousands of developers, contributors, and Free Software enthusiasts from around the world. Whether th...
Digital Omnibus Dream? Prospettive di competitività UE – 11 febbraio 2026 – Evento in presenza e online istitutoitalianoprivacy.it/202… @informatica Evento in presenza e webinar IIP 11 febbraio 2026 – 14:30-17:30 Hotel Nazionale – Piazza di Piazza Monte Citorio – Roma Digital Omnibus Dream? Prospettive di competitività europea per l’Intelligenza Artificiale e la
Evento in presenza e webinar IIP
11 febbraio 2026 - 14:30-17:30
Hotel Nazionale - Piazza di Piazza Monte Citorio - Roma
Digital Omnibus Dream? Prospettive di competitività europea per l'Intelligenza Artificiale e la valorizzazione dei dati - C…
BitLocker: chiavi fuori dal cloud. Guida alla crittografia di Windows, passo per passo
Dopo il caso Forbes di pochi giorni fa, tra i social si notano discussioni e confusione su come viene gestita la crittografia di Microsoft, con BitLocker, quando si sceglie di proteggere il proprio device. Questa breve guida vuole essere un passo semplice e divulgativo, per risolvere alcuni dubbi che possono emergere in utenti poco esperti su questo aspetto e che si trovano a dover installare un nuovo dispositivo Windows, con applicazione della crittografia. Alcuni semplici accorgimenti che possono proteggere la nostra privacy, perchè spesso, in sistemi come quelli Microsoft, le scelte di default non sono sempre le migliori. Il caso di Forbes
Cosa è successo e perché è importante
Forbes ha rivelato che, in un’indagine su una frode legata ai fondi Covid a Guam, l’FBI ha chiesto a Microsoft le chiavi di recupero BitLocker di tre laptop; Microsoft le ha fornite perché quelle chiavi erano state salvate nel cloud associato agli account Microsoft degli utenti. L’azienda ha confermato che, quando ha accesso alle chiavi di BitLocker e riceve un’ordinanza valida, le consegna alle autorità, in media una ventina di volte l’anno.
Il motivo tecnico è semplice: nelle installazioni moderne di Windows 11, soprattutto su PC consumer, l’utente viene spinto a usare un account Microsoft online; quando attiva la crittografia del dispositivo o BitLocker, la chiave di recupero viene caricata automaticamente sull’account, “per sicurezza” e per evitare che l’utente la perda. Il risultato è che l’utente crede di avere cifratura forte “contro chiunque”, mentre in realtà ha delegato a Microsoft la custodia di una copia della chiave.
La guida a BitLocker, semplificata
Quando un utente installa Windows oggi, spesso non si rende conto di firmare un contratto implicito con Microsoft sulla gestione delle chiavi che cifrano il suo disco. Il recente report di Forbes su un’inchiesta dell’FBI a Guam, in cui Microsoft ha consegnato le chiavi di recupero BitLocker di alcuni laptop, non rivela una backdoor tecnica, ma mette in luce una scelta di design che molti utenti accettano senza capirla: se la chiave di recupero finisce nel cloud dell’account Microsoft, Microsoft può fornirla alle autorità quando riceve un ordine del giudice. Il problema non è BitLocker in sé, che resta un motore di cifratura robusto, ma il fatto che, per comodità, Windows tende a legare la crittografia al proprio account online, trasformando la protezione del dispositivo in un servizio di “surrender as a service” per chiunque abbia accesso legale alle chiavi.
Separare crittografia e account Microsoft
Per chi vuole davvero controllare i propri dati, la strada più coerente è separare due cose che Microsoft spinge a confondere: l’uso dell’account Microsoft per servizi cloud e la crittografia del disco locale. Il punto di partenza è chiaro: se durante la prima installazione di Windows 11 si sceglie subito un account Microsoft online, il sistema può attivare automaticamente la “Device Encryption”, una modalità semplificata che in pratica abilita BitLocker sul disco di sistema e su quelli fissi, con la chiave di recupero salvata nel cloud associato all’account. Questo è il comportamento che ha permesso a Microsoft di fornire le chiavi all’FBI nel caso di Guam, perché in quel contesto la chiave era stata espressamente salvata nel cloud dell’account utente e non solo conservata localmente.
Passo 1: installare Windows con account locale
Per evitare di cadere in questa configurazione “pre‑impostata”, la prima mossa è installare Windows usando un account locale, cioè un profilo creato direttamente sul PC senza passare da Outlook, Hotmail o simili. Su molte installazioni recenti, l’interfaccia cerca di dissuadere da questa scelta, ma è ancora possibile ottenere un account offline disconnettendo il PC da Internet durante la configurazione iniziale o sfruttando le opzioni avanzate che permettono di inserire nome utente e password senza un account Microsoft. L’obiettivo non è demonizzare l’account online, ma semplicemente rimandare la sua introduzione a un momento successivo, dopo aver impostato la crittografia in modo consapevole e aver salvato le chiavi in un luogo sotto il controllo diretto dell’utente.
Passo 2: abilitare BitLocker sulle unità disco
Una volta dentro con un account locale amministratore, è il momento di affrontare BitLocker “vero”, non la versione semplificata di Device Encryption. Su Windows 11 Pro o Enterprise, BitLocker è accessibile dal Pannello di controllo, sotto Sistema e sicurezza → Crittografia unità BitLocker, oppure dalle Impostazioni di sicurezza, dove appare come funzione distinta dalla generica crittografia del dispositivo. Qui l’utente può scegliere di cifrare esplicitamente l’unità di sistema e, se vuole, anche altri dischi interni o esterni, con BitLocker To Go per le chiavette USB. Questa granularità è importante perché permette di decidere esattamente quali volumi cifrare e come gestire le chiavi, anziché affidarsi a un wrapper automatico che si attiva e si nasconde da solo. Durante l’attivazione di BitLocker, Windows chiede come proteggere il disco all’avvio: la modalità più comune su PC moderni è quella che usa il TPM (Trusted Platform Module), un chip dedicato che custodisce la chiave principale e permette al sistema di avviarsi senza chiedere alcun codice, a patto che l’ambiente di boot non sia stato alterato. È possibile però innalzare il livello di sicurezza richiedendo un PIN pre‑boot o una chiave su USB, scelte che rendono più difficile l’accesso a chiunque abbia solo il disco fisico in mano. La guida può spiegare che il TPM non è una backdoor, ma un componente hardware progettato per proteggere le chiavi da estrazione diretta, e che la vera vulnerabilità nasce quando una copia della chiave viene esposta a terzi, come nel caso del backup nel cloud.
Passo 3: salvare le chiavi di recupero offline
Il momento decisivo è la schermata “Come vuoi eseguire il backup della chiave di ripristino?”, che appare sia durante l’attivazione di BitLocker sia quando si chiede un backup a posteriori. Le opzioni tipiche sono: salvare la chiave in un file, stamparla su carta, salvarla su un’unità USB oppure, se si è loggati con un account Microsoft, caricarla nel cloud associato all’account. È proprio questa ultima opzione che trasforma la crittografia in un sistema in cui Microsoft può diventare un punto di accesso legale, perché la chiave diventa un dato che l’azienda può consegnare quando riceve un ordine del giudice. La strategia che conviene adottare è semplice ma richiede disciplina: ignorare l’opzione “Salva nel tuo account Microsoft” e scegliere invece una o più soluzioni offline. Un file su una chiavetta USB dedicata, una stampa su carta conservata in un luogo sicuro, magari una copia in un archivio di password protetto da una passphrase forte, ma mai lasciata sul disco cifrato stesso. È utile spiegare ai lettori che la chiave di recupero è l’equivalente digitale di un master key: se la si perde, i dati possono diventare irrecuperabili, ma se la si lascia in giro o nel cloud, si annulla gran parte del valore della cifratura. Per ogni unità cifrata, BitLocker genera una chiave distinta, che va etichettata e archiviata con cura, ad esempio “Notebook‑Ufficio‑C:” o “SSD‑Backup‑E:”, per evitare confusione in caso di emergenza.
Passo 4: solo dopo, associare l’account Microsoft
Solo dopo aver completato questo passaggio, con tutte le unità crittografate e le chiavi di recupero al sicuro in forma offline, l’utente può decidere se associare il PC al proprio account Microsoft per sfruttare OneDrive, Store e altri servizi. Questa operazione, che può avvenire trasformando l’account locale in account Microsoft o aggiungendone uno come account aggiuntivo, non modifica retroattivamente il metodo con cui sono state salvate le chiavi di BitLocker. La guida può sottolineare che, a quel punto, l’account online serve per la sincronizzazione e l’accesso ai servizi, non per la custodia delle chiavi di cifratura del disco.
Per chi vuole spingere il livello di privacy ancora oltre, è possibile mantenere un profilo di sola cifratura locale, usando l’account Microsoft solo via browser o app dedicate, senza mai legarlo direttamente al profilo di sistema. In ogni caso, è consigliabile verificare periodicamente la pagina online dove Microsoft elenca le chiavi BitLocker associate all’account, per assicurarsi che non compaiano recuperi inattesi per dispositivi che si ritenevano “air‑gapped” dal punto di vista delle chiavi. Questo controllo è particolarmente importante dopo un aggiornamento di Windows o un cambio di hardware, che potrebbero innescare nuovi salvataggi automatici se non si presta attenzione.
Dal punto di vista teorico, la lezione da estrarre da questa storia è che la cifratura è solo una parte del problema; l’altra parte è la gestione delle chiavi. BitLocker, come sistema crittografico, non è stato compromesso, ma il suo modello di backup “conveniente” nel cloud ha creato un punto di accesso che le autorità possono sfruttare. La differenza tra password di accesso a Windows e chiave di recupero BitLocker è cruciale: la prima è solo un lucchetto all’account, mentre la seconda è ciò che consente di decifrare materialmente il contenuto del disco, rendendola un obiettivo privilegiato per chiunque voglia accedere ai dati.
L’invito qui è quello di trattare la crittografia come un processo consapevole, non come un’opzione che si accende e si dimentica. Installare Windows con un account locale, cifrare esplicitamente le unità con BitLocker, salvare le chiavi di recupero offline e solo dopo associare l’account Microsoft è un flusso che preserva sia la comodità dei servizi cloud sia il controllo effettivo sui dati.
In un mondo in cui le chiavi possono essere richieste a un terzo da un tribunale, la vera sicurezza sta nel decidere chi, oltre a noi, può avere accesso a quelle chiavi, e nel fare in modo che quella lista sia il più breve possibile.
According to a Forbes report, Microsoft will provide BitLocker encryption recovery keys stored in the cloud to law enforcement if presented with a valid legal order, such as a court-issued warrant.
FPF Releases an Updated Issue Brief on Vietnam’s Law on Protection of Personal Data and the Law on Data fpf.org/blog/fpf-releases-upda… @privacy The Issue Brief on Vietnam’s AI Law has been updated to reflect the latest changes introduced by Decree 356/2025, the implementing decree to Vietnam’s Personal Data Protection Law, which was enacted on 31 December 2025. Vietnam is undergoing a sweeping
An updated issue brief examining Vietnam’s evolving AI and data governance framework amid recent reforms to its personal data protection and data laws.
Innovation and Data Privacy Are Not Natural Enemies: Insights from Korea’s Experience fpf.org/blog/innovation-and-da… @privacy The following is a guest post to the FPF blog authored by Dr. Haksoo Ko, Professor at Seoul National University School of Law, FPF Senior Fellow and former Chairperson of South Korea’s Personal Information Protection Commission. The guest post reflects the opinion of the author only
Drawing on South Korea’s recent regulatory experience, Dr. Haksoo Ko examines how South Korea’s privacy governance shows that innovation and data protection can coexist.
Perversioni da traduttore, ma la cosa che mi intriga di più è quello "choc" scritto alla francese (anziché il più comune "shock"). Gap generazionale? Autore sulla sessantina?
Più on-topic, Microsoft ha risolto il problema da sola, eliminando un altro programma usatissimo su cui poteva tranquillamente vivere di rendita 😄 Teamviewer ringrazia? spcnet.it/microsoft-abbandona-…
@aran Si più o meno, gli ho incollato l'abstract di dell'inchiesta di Report RAI3 e gli ho aggiunto sotto le mie intenzioni di creare un meme per prendere in giro l'inchiesta visto che quel software non si può considerare spyware, ma piuttosto sottolineare che il vero problema è che sia un prodotto Microsoft
Il mercato europeo dello spionaggio digitale continua a prosperare nell’ombra, con software spyware che infettano smartphone e trasformano dispositivi personali in strumenti di sorveglianza totale, nonostante scandali ripetuti in numerosi paesi dell’Unione Europea. Queste tecnologie, spesso vendute a governi e agenzie private senza alcun controllo significativo, sfruttano vulnerabilità zero-day per ottenere accesso completo: lettura di messaggi, attivazione di microfoni e fotocamere, estrazione di dati sensibili, il tutto in modo invisibile e persistente, aggirando protezioni native come sandboxing e crittografia end-to-end.
La diffusione incontrollata
Programmi come Pegasus o tool di RCS Lab penetrano nei sistemi operativi mobili attraverso catene di exploit complessi, che iniziano con link malevoli in SMS o app legittime e culminano con l’installazione di rootkit kernel-level capaci di sopravvivere a reboot e aggiornamenti. Casi documentati riguardano Spagna, Polonia, Ungheria, Grecia, Italia, Slovacchia e Serbia, dove giornalisti, attivisti per i diritti umani, politici e oppositori sono stati presi di mira da agenzie statali, con operazioni che violano sistematicamente la proporzionalità e la necessità richieste dalle norme sui diritti fondamentali. L’assenza di “linee rosse” a livello UE permette a vendor commerciali di operare con impunità, ricevendo persino fondi pubblici europei, mentre le vittime rimangono prive di notifiche o rimedi legali efficaci.
Il ruolo di EDRi e il document pool
European Digital Rights (EDRi) ha lanciato un “spyware document pool”, una repository pubblica che aggrega analisi, indagini giornalistiche, valutazioni sui diritti umani e documenti ufficiali, inclusi i rapporti del comitato PEGA del Parlamento Europeo del 2023, per tracciare abusi e spingere verso un divieto totale. Questa risorsa centralizza evidenze frammentate: da report su scandali nazionali a ricerche tecniche su exploit, evidenziando come lo spyware comprometta l’integrità dei dispositivi e esponga dati massivi senza possibilità di oversight giudiziario adeguato. EDRi richiede un bando completo su produzione, vendita e uso di spyware commerciale, sanzioni mirate ai venditori, stop agli appalti pubblici e accesso prioritario a forensics digitali per le vittime.
Implicazioni tecniche e politiche
Dal punto di vista tecnico, questi malware evadono EDR aziendali e protezioni OS attraverso tecniche di offuscamento dinamico, iniezione di processi legittimi e persistence via meccanismi come launch daemons su iOS o servizi system su Android, rendendo la rilevazione forense un’impresa ardua che richiede analisi reverse engineering avanzata. Politicamente, la Commissione Europea non ha risposto alle raccomandazioni PEGA con legislazione vincolante, lasciando i vendor liberi di proliferare minacce transnazionali che erodono la fiducia democratica. Coalizioni di ONG e giornalisti insistono su riforme strutturali, inclusa la accountability politica e rimedi transfrontalieri per cause legali.
@fosdem is approaching fast! 🏃♀️➡️ Only 8 days left before a full weekend of talks, workshops, and meetings about #FreeSoftware will be taking place.
Do not miss us there and find out what will be happening at FOSDEM in our latest news!
FOSDEM returns in 2026, once again bringing together thousands of developers, contributors, and Free Software enthusiasts from around the world. Whether th...
Today the @EUCommission unveiled its proposal for a Digital Networks Act (#DNA)... and it has far-reaching implications for Europe’s internet.
Despite being framed as a “technical update,” our member @epicenter_works's first analysis shows the proposal could dismantle key net neutrality safeguards, centralise political power, and threaten an open and neutral internet.
Today the EU Commission published the long-awaited Digital Networks Act. We analysed it immediately. Our first take: dangerous. The proposal threatens #NetNeutrality weakens independent regulators, and opens the door to network fees.
Google Chrome sta diventando sempre più un’estensione dell’intelligenza artificiale di Big G, con la “AI Mode” che si insinua nell’Omnibox e suggerisce risposte genera…
🗞️ Your favourite #DigitalRights newsletter is back! Strap in for the busy and buzzy first edition of the #EDRigram in 2026. On our agenda:
🕵🏾 new resource to strengthen the case for an EU-wide ban on #spyware ✊🏾 resisting discriminatory algorithms in the Netherlands with Bits of Freedom, and in France with La Quadrature du Net and coalition. 🤔 EDRi's 2025 year in review - resisting and persisting despite everything
📚 The Dutch translation of 'Ada & Zangemann' is here! We have received boxes full of books 🤩
You want to have one? Pre-order your book now for @fosdem and come by at our booth in building K, Level 2 to pick it up: fsfe.org/news/2026/news-202601…
The first storytale about digital sovereignty is now also available to pre-order in Dutch. This effort involved a lot of work by our volunteer Nico Rikken ...
✊🏾 @edri is proud to join @LaQuadrature and other orgs in challenging the discriminatory algorithms used by the family branch of the French welfare system (CNAF).
In the context of the current #deregulation spree by the European Commission, this legal action shows resistance to the rollback of #FundamentalRights protections and the increase of rights-infringing legislation.
10 organisation, including EDRi, have joined a coalition effort to challenge the discriminatory algorithms used by the family branch of the French welfare system.
La CNAF utilise depuis 15 ans un algorithme de scoring pour noter ses allocataires et cibler ses contrôles. En pratique, les personnes les plus précaires reçoivent un score « de suspicion » plus élevé et se retrouvent plus souvent contrôlées à cause de cet algorithme. On l'a donc attaqué en 2024 avec 14 autres associations. Aujourd'hui, on est fier·es de vous annoncer que 10 autres organisations rejoignent la lutte.
Il y a un peu plus d'un an, 15 organisations de la société civile ont contesté l'algorithme d'évaluation des risques utilisé par la Caisse nationale d'allocations familiales (CNAF), la branche familiale du système français de protection sociale.
⏰ #FOSDEM is around the corner! And we will be in the middle of it all! Have a look at our amazing talks about #FreeSoftware #Policy #Legal topics ..., happening all over FOSDEM. You do not want to miss any of our sessions? 🫶 Follow us and stay tuned for more info about FSFE at FOSDEM. And of course, you can find us at our booth, building K Level 2, stand 9.
If you know about a FSFE related event that is not yet listed here or that you run on your own, you can easily add it by using our event announcement tool....
Relazione Digital Omnibus V2: Analisi di alcune proposte GDPR e ePrivacy della Commissione La versione 2 del nostro rapporto contiene raccomandazioni specifiche per il legislatore europeo su ciascuno degli articoli più importanti, compresa l'opportunità di respingere o mantenere le modifiche proposte mickey20 January 2026
Il caso CRIF dimostra: I registri pubblici sono sempre più utilizzati in modo improprio Una nuova revisione del Noyb, che ha coinvolto più di 2.400 persone interessate, mostra che le principali fonti di dati del CRIF accedono a registri pubblici come i registri delle società e dei terreni. mickey20 January 2026
I Giochi olimpici invernali di Milano-Cortina 2026 saranno il primo mega-evento sportivo davvero “full stack”: tutto è connesso, tutto è telemetria, tutto
Il pacchetto di aggiornamenti di gennaio per Windows 11 si è trasformato in un promemoria involontario su quanto sia fragile il confine tra hardening della piattaforma e user experience di base: do…
Increasingly I get the feeling the #EU should simply react with a 10% tariff "until we get California".. just to show how absurd all of this got by now.. 😂 bbc.com/news/live/c1j8kw866p3t
I feel like we should pull the plug on America, and take our money out of there as much as possible. Go fully independent every way we can (such as being here on this EU platform).
I demand a 20% tariff until we get Silicon Valley. Dreaming of what would be possible if we use it for Open Source and Open Protocols. digital fairness and net neutrality.
We could counter with an equally stupid tariff... or we could do the smarter thing and abolish the anti-circumvention laws that we originally passed against our interests just because the US threatened tariffs otherwise. Now that we get tariffs there is no reason to stay captured by US tech companies. We could have right to repair laws and the right to write, distribute and buy software for the products we buy. There is no reason that John Deere can brick all of Europe's tractors at the same time (or Tesla all Teslas, Apple all iPhones, Microsoft all office suites etc) other than that we agreed to stupid deals in the past to avoid tariffs, which we get now anyway.
You could get the 4th largest economy in the world, instead of dipshit getting a large iceberg (no offense meant, Greenland). Plus some good prices on food.
anything as the crying about the threat of tariffs. Its unbecoming. Trump is like putin. He only respects strongmen. Give him a piece of his own medicine.
answer we announce the double of US tarriff on US software (Billion dollar anual hit in US economy), and by double we mean if he increase it our increase automatically.
Making him a fool as he can never be highter than US
Let's be a little bit more modest and instead of demanding to get the 4th economy in the world, we could agree to get Florida only. In further negotiations we could narrow it down to Mar a Lago ...
I'd like to see that too. Whenever he puts a tax on any European country, every European country puts another 10% on all american goods. Sooner or later the trade will cease. The difference is that we still can get most stuff from China or anywhere else, he can't. Also, impose hefty taxes on digital services, like cloud stuff, AI etc. Kill him with his own weapons.
Because of causing economical instabiliy the EU should introduce a 50% Tariff on all tech services as long as the CLOUD Act and FISA apply to data stored in Europe.
The money can be used to develop European alternatives.
January is a busy month. We all come back from our relaxing (or in some cases rather stressful) holidays and what best to do with all the energy the New Ye...
I ricercatori hanno scoperto una vulnerabilità critica nel plugin Modular DS per WordPress che ha permesso a hacker di compromettere oltre 40.000 siti con un metodo sorprendentemente semplice.
La vulnerabilità CVE-2026-23550
Il plugin Modular DS, installato su decine di migliaia di siti WordPress, presentava una falla di privilege escalation classificata con un punteggio CVSS di 10.0, il massimo livello di severità. Questa debolezza, identificata come CVE-2026-23550 e catalogata nel database di Positive Technologies, riguardava le versioni 2.5.1 e 2.5.2 e derivava da una mancanza di autenticazione adeguata nell’endpoint API /apimodular-connector/login. Gli attaccanti potevano inviare una richiesta GET a questo endpoint senza credenziali, sfruttando parametri come login, server-information e manager per elevare i privilegi e ottenere accesso amministrativo completo, inclusi moduli per il login, la gestione del server e i backup.
Patchstack ha rilevato le prime exploitation il 13 gennaio 2026 alle 02:00 UTC, con richieste anomale provenienti da IP come 45.11.89.19 e 185.196.0.11, che puntavano proprio a quell’endpoint vulnerabile. La tecnica non richiedeva payload complessi né exploit zero-day elaborati: bastava una semplice chiamata HTTP per bypassare i controlli e iniettare un account amministratore, permettendo l’esecuzione di comandi arbitrari sul server sottostante.
Il trucco con l’header Origin
Gli hacker hanno affinato l’attacco aggiungendo un header HTTP "Origin: mo.", una stringa apparentemente innocua che il plugin Modular DS interpretava come indicatore di una richiesta legittima proveniente dal dominio “originmo”. Questo header, combinato con la mancanza di validazione sull’API apimodular-connector, convinceva il sistema a trattare la chiamata come interna, eludendo ulteriori verifiche di sicurezza. In pratica, l’attaccante simulava una richiesta dal pannello di controllo del plugin stesso, ottenendo accesso istantaneo a funzionalità sensibili come la gestione dei backup e le informazioni sul server.
Tale approccio, definito il “metodo più pigro” dagli analisti, ha colpito siti vulnerabili in modo massivo perché non necessitava di scansioni personalizzate o tool avanzati: una semplice modifica all’header in una richiesta GET standard era sufficiente per compromettere l’intero ambiente WordPress. Positive Technologies ha dettagliato come questo meccanismo permettesse non solo l’elevazione di privilegi ma anche l’inserimento di backdoor persistenti, con potenziali ramificazioni su database e file system.
Impatto e risposta
L’exploit ha interessato circa 40.000 installazioni attive del plugin, esponendo siti a rischi di defacement, furto dati e ulteriore propagazione di malware tramite i manager di backup integrati. Patchstack ha rilasciato una patch urgente nella versione 2.5.2, che introduce validazioni rigorose sugli header Origin e sull’autenticazione API, bloccando richieste non autorizzate attraverso controlli nonce e verifica IP whitelisting.
Gli amministratori di WordPress devono verificare immediatamente la presenza del plugin Modular DS, aggiornarlo alla versione corretta e monitorare i log di accesso per endpoint sospetti come /apimodular-connector/.
Questa discussione è aperta anche su Feddit in @informatica
L'Australia ha adottato misure per obbligare le aziende di social media a impedire ai minori di 16 anni di avere un account, e si parla sempre di seguire l'esempio del Regno Unito. Oggi voglio spiegare brevemente perché ritengo che sia una cattiva idea.
Australia has moved to require social media companies to prevent under 16s from holding an account, and there’s always talk of us following suit in the UK. I want to talk a little today about why I think that’s a bad idea.
Potrebbe essere un modo di costringere i social commerciali ad impegnarsi con moderazione per davvero. Adesso ci stanno prendendo in giro ed il costo lo paghiamo tutti noi. Purtroppo i bambini soffrono il più.
Invece parlando di censura statale, ecco una più vicina a noi, tentata da un'ammistrazione attualmente governata dai fascisti securityboulevard.com/2026/01/… (al di là della ridicola traduzione di non c'è modo)
1) non è vero che non c'è modo. Anche akamai ha spiegato che il modo c'è. Ciò non toglie che la legge italiana sia orrenda e che la sua applicazione sia anche peggio, ma il fatto che non ci sia modo è una balla che fa parte delle strategie di Spin di Cloudflare 2) la nostra amministrazione è governata da eredi e cosplay del Fascismo e questo è evidente. Ma non è una amministrazione fascista. Leggi illiberali sono state promulgate molto spesso in passato! Quindi, benché il nostro sia un governo con dentro tanti "fascisti", non è certo un governo fascista. Il governo da cui dipende Cloudflare e a cui Cloudflare si è rivolta per ottenere pressioni diplomatiche sul Governo italiano, quello sì è invece a tutti gli effetti un governo fascista.
Pienamente d'accordo. Inoltre le mie parentesi intendevano a dire che "no way" potrebbe stare per "non se ne parla proprio"
Direi che la differenza tra fascismo e "cosplay del fascismo" è se si è presentato il momento di scatenarsi o no. Perché hai dato Trump come esempio, mi immagino che fossi d'accordo che anche suo primo mandato è stato cosplay e nel secondo ha fatto il suo outing?
@mapto sì, sicuramente Cloudflare intende proprio quello che dici tu. Sulla differenza tra Trump e Governo Meloni invece, forse mi sbaglio, ma la natura eversiva, confessionale e carismatica del fascismo di Trump è sempre stata evidente. Meloni invece mostra uno (aspetta che cerco di essere serio) spiccato **"senso dello Stato"**, sicuramente di gran lunga maggiore rispetto alla maggior parte dei leader neofascisti europei. La continuità perfetta con il governo Draghi rende benissimo questa strana situazione: la Meloni ricorda molto quei rockettari anni sessanta che sul palco vestivano all'americana ma quando rientravano a casa erano tutti cravattino e brillantina...
Quindi, se è vero che un secondo governo meloni sarebbe sicuramente un po' più fascista, non vedo quei semi ben presenti già nel primo mandato di Trump
Vietare non è risolvere il problema, è evitarlo. Anche perché ci sono un sacco di adulti cattivi, e maleducati. Che se la prendono con altri adulti. E non è che tutti si sappiano difendere
La mia risposta sarebbe che i cittadini non hanno bisogno di meta ed alphabet (anche se proprio Italia ha una dipendenza inspiegabile di whatsapp). Meta e alphabet esistono ancora solamente perché (il loro quasi intero fatturato) continuano a spacciare pubblicità di qualità bassa, spesso scam e disinfo, vedi technologyreview.com/2021/11/2…
The tech giants are paying millions of dollars to the operators of clickbait pages, bankrolling the deterioration of information ecosystems around the world.
@mapto sottovaluti l'impatto che, soprattutto in provincia, hanno ancora i gruppi Facebook locali. E misura leggermente minore la funzione che hanno gli eventi Facebook
Perdonami che sto saltando da tema a tema. Da straniero ho poco contesto e accetto quello che dici tu senza poter sviluppare un mio argomento più profondo.
As public opinion in the country increasingly turns against the U.S. president over his threats to seize Greenland, the AfD is seeing the downside of its strong alignment with him.
@mapto i nazisti della afd stanno temendo di fare la fine della alteright canadese: farsi schifare dagli elettori a causa dei comportamenti disgustosi di Donald Trump. Non so come gestiranno il problema, ma devono sicuramente gestirlo, a prescindere dal fatto che alle loro dichiarazioni possano seguire fatti realmente rilevanti.
Per quanto riguarda Crosetto, Mi dispiace ammetterlo, ma il suo atteggiamento in questo momento è razionale per davvero e non solo per modo di dire. Metterà un po' tristezza, Ma questa è la realtà
(a) svilupperemmo il settore tecnologico e la ricerca dovendo crearci alternative (b) probabilmente creeremmo lavoro (qualificato) e (c) non dipenderemmo dai capricci altrui
🤷♀️
EDIT: magari siamo così furbi che lo facciamo senza sbandierarlo ? Tenendo un basso profilo ? Naaah mi parrebbe strano....(ma sarebbe positivo)
We are grateful to be among the 10 beneficiaries of the 2025 @protonprivacy Lifetime Fundraiser together with organisations working to protect digital rights, including EDRi member @digiges and partners @nlnet & Lighthouse Reports
"Support from the global Proton community will significantly strengthen EDRi’s resilience, empowering us to advocate for robust laws and promote a healthy and accountable technology market." Amber Sinha, EDRi Executive Director
As 2026 begins, we are excited to see the projects from the new edition of #YH4F, kicking off this month, and to start preparing for #FOSDEM and Ada & Zangemann in Dutch!
At the same time, we are looking back at the last month of 2025: from #YH4F in Hamburg to our two latest Software Freedom Podcast episodes, and our updates on the CRA and our work in the Apple v. European Commission litigation.
As 2026 begins, we are excited to see the projects from the new edition of YH4F, kicking off this month, and to start preparing for FOSDEM! At the same tim...
Security by Design instead of Surveillance by Default. That is Parliament’s line on #ChatControl and it is the only one that actually protects children without spying on millions of innocent citizens. Hold the line in 2026! Read the full interview: euperspectives.eu/2025/12/brey… [link fixed]
🇩🇪Der totale Shutdown im #Iran erschwert Protest, blockiert Notrufe und versteckt Gewalt. Als #Pirat sage ich mit Schneier, Lessing, Whittaker u.a.: Hände weg vom Netz! Sofortige Wiederherstellung ungefilterten Zugangs! #DigitalBlackoutIran #IranProtests linkedin.com/pulse/joint-state…
To: The Government of the Islamic Republic of Iran and the International Community As architects, operators, and stewards of the global Internet infrastructure, we define the Internet not merely as a network of cables and routers, but as a foundation…
To: The Government of the Islamic Republic of Iran and the International Community As architects, operators, and stewards of the global Internet infrastructure, we define the Internet not merely as a network of cables and routers, but as a foundation…
In Italy every work of the mind is considered copyrighted as All Rights Reserved to the original creator, as long as they are able to prove they are the original author
È interessante il caso dell’operazione condotta dalla Polizia Nazionale spagnola, con la collaborazione della polizia bavarese e il supporto operativo di
Surveillance Watch – Una mappa che mostra le connessioni tra le aziende di sorveglianza
Le tecnologie di sorveglianza e gli #spyware vengono utilizzati per prendere di mira e sopprimere giornalisti, dissidenti e difensori dei diritti umani in tutto il mondo. Surveillance Watch è un database interattivo che documenta le connessioni nascoste all'interno dell'opaco settore della sorveglianza. Fondata da sostenitori della privacy, la maggior parte dei quali è stata personalmente danneggiata dalle tecnologie di sorveglianza, la nostra missione è quella di far luce sulle aziende che traggono profitto da questo sfruttamento. Mappando l'intricata rete di aziende di sorveglianza, delle loro filiali, partner e finanziatori, speriamo di svelare i facilitatori che alimentano le diffuse violazioni dei diritti in questo settore, garantendo che non possano eludere la responsabilità per la loro complicità in questi abusi. Surveillance Watch è un'iniziativa promossa dalla comunità e ci affidiamo ai contributi di persone appassionate della tutela della #privacy e dei diritti umani.
@Privacy Pride Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/3scimmie… Vasco canta: "...siamo solo noi che non abbiamo più niente da dire dobbiamo solo vomitare siamo solo noi che non vi stiamo neanche più ad ascoltare siamo solo noi..." Questa è la precisa sensazione che provo oggi nei confronti dell'Autorità Garante per la protezione
All'interno dello strumento dell'ICE per monitorare i telefoni in interi quartieri
404 Media ha ottenuto materiale che spiega il funzionamento di Tangles e Webloc, due sistemi di sorveglianza recentemente acquistati dall'ICE. Webloc può tracciare i telefoni senza mandato e seguire i proprietari fino a casa o al loro datore di lavoro.
Inside ICE’s Tool to Monitor Phones in Entire Neighborhoods
A social media and phone surveillance system ICE bought access to is designed to monitor a city neighborhood or block for mobile phones, track the movements of those devices and their owners over time, and follow them from their places of work to home or other locations, according to material that describes how the system works obtained by 404 Media.
Commercial location data, in this case acquired from hundreds of millions of phones via a company called Penlink, can be queried without a warrant, according to an internal ICE legal analysis shared with 404 Media. The purchase comes squarely during ICE’s mass deportation effort and continued crackdown on protected speech, alarming civil liberties experts and raising questions on what exactly ICE will use the surveillance system for.
💡 Do you know anything else about this tool? Do you work for ICE, CBP, or another agency? I would love to hear from you. Using a non-work device, you can message me securely on Signal at joseph.404 or send me an email at joseph@404media.co.
“This is a very dangerous tool in the hands of an out-of-control agency. This granular location information paints a detailed picture of who we are, where we go, and who we spend time with,” Nathan Freed Wessler, deputy project director of the American Civil Liberties Union’s (ACLU) Speech, Privacy, and Technology Project, told 404 Media.
This post is for subscribers only
Become a member to get access to all content Subscribe now
404 Media has obtained material that explains how Tangles and Webloc, two surveillance systems ICE recently purchased, work. Webloc can track phones without a warrant and follow their owners home or to their employer.
🍀 ThePrivacyPost è un account di servizio gestito direttamente dagli amministratori di Poliverso e pubblica notizie provenienti da diversi siti, blog, account del fediverso e alcuni contenuti originali. 🩸 Se apprezzi questo servizio, prendi in considerazione la possibilità di effettuare una donazione a Poliverso. Puoi scegliere due canali:
FSFE has been working intensively over the last two years to improve DMA interoperability against gatekeepers like #Apple and Google.
Il caso di Forbes
Free Software Foundation Europe
in reply to Free Software Foundation Europe • • •Earlier, in June 2025, we took part in the workshop organised by the Commission on #Google's #DMA compliance, where we raised issues related to #interoperability.
In particular, similar problems #FreeSoftware developers are facing with #Apple, like discretionary power to deny interoperability, the lack of transparency, and anti-competitive practices.
fsfe.org/news/2025/news-202509…
The Digital Markets Act turns 1: one year of pushing for Device Neutrality - FSFE
FSFE - Free Software Foundation EuropeFree Software Foundation Europe
in reply to Free Software Foundation Europe • • •In the period of August-November 2025, the FSFE took part in a comprehensive study regarding #Google’s control over #interoperability in #AOSP.
In particular, the study focused on how the company's limiting access to critical interoperability can hinder Free Software projects.
The study was discussed in the @article19 #DMA Symposium and reviewed by the @EUCommission
A summary of the discussions conducted at the Symposium was later published at techpolicy.press/making-the-di…
Making the Digital Markets Act Developer-Friendly
Lucas Lasota (Tech Policy Press)Free Software Foundation Europe
in reply to Free Software Foundation Europe • • •The @EUCommission's decision is a sign of progress in enforcing #interoperability obligations, tackling anti-competitive behaviour from these companies.
Taken together, such regulatory procedures should make interoperability effective, so #FreeSoftware developers have a chance to participate and innovate in digital markets.
Anders Lund
in reply to Free Software Foundation Europe • • •An issue for many danish users of degoogled androids is that we can not access apps that use the Google Play Integrity API - typically banking related apps and some public apps, like drivers licence, MitID etc.
The API is a bad case of gatekeeping, holding people away from using safe mobile phone operating systems.