Hack / Data Breach

Discord obbligherà presto tutti gli utenti a completare la verifica dell'ID o ad essere esclusi dai server e dalle funzioni con limiti di età. A marzo, i chatter dovranno caricare un video che mostri il loro volto o altri ID qualificati. L'azienda ha delineato le protezioni della privacy a seguito di un tentativo di violazione dei dati dell'ottobre 2025.

Nonostante i diversi cambi di nome, OpenClaw rimane uno degli strumenti di AI più pubblicizzati. Dopo tutto, trasforma un PC in un agente AI completamente autonomo. Tuttavia, lo strumento può facilmente bruciare centinaia di dollari in token API al giorno. Ancora peggio, sono stati scoperti gravi difetti di sicurezza.

Madhu Gottumukkala, Direttore ad interim dell'Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture, ha fatto scattare gli avvisi di sicurezza interna caricando documenti sensibili su ChatGPT. L'incidente solleva domande sulla sicurezza dei dati presso la CISA.

Due anni di lavoro persi con un solo clic: ecco come il Professor Marcel Bucher descrive la sua esperienza in un articolo pubblicato su Nature. Conclude che ChatGPT è una minaccia per la produttività costante. Tuttavia, il chatbot offre una funzione di backup che il ricercatore apparentemente non ha utilizzato.

Mentre Apple e Google sottolineano che non possono sbloccare i dispositivi dei clienti, la situazione è diversa con la crittografia di Windows: Microsoft consegna abitualmente le chiavi BitLocker dal cloud alle agenzie di polizia.

Ricercatori di Vienna hanno scoperto una massiccia vulnerabilità di sicurezza in WhatsApp, che ha permesso loro di identificare 3,5 miliardi di utenti. La mancanza di limiti alle query ha permesso la raccolta su larga scala di nomi utente, immagini del profilo e messaggi di stato.

In una svolta ironica degli eventi, un noto forum di hacking è stato violato, con una violazione che ha compromesso circa 324.000 account. Alcuni di questi account erano collegati a indirizzi IP pubblici, il che significa che le forze dell'ordine potrebbero utilizzare queste informazioni per catturare gli attori malintenzionati.

Malwarebytes ha confermato una massiccia fuga di dati che espone le informazioni personali di 17,5 milioni di account Instagram. I dati trapelati potrebbero essere utilizzati per il phishing e l'acquisizione di account, e gli utenti sono invitati ad attivare il 2FA e a stare attenti ai falsi messaggi Meta.

Si sta diffondendo la notizia che Microsoft Defender sta bloccando il popolare strumento comunitario MAS, segnalandolo come falso. Al contrario, i nostri test dimostrano che lo script funziona perfettamente. Gli utenti colpiti sono forse caduti vittima di una manomissione del DNS?

Chiunque abbia affidato i propri segreti più oscuri a ChatGPT potrebbe voler fare un passo indietro, perché un tribunale degli Stati Uniti sta obbligando OpenAI a consegnare 20 milioni di registri degli utenti alla parte avversa in un'importante disputa sul copyright.

Secondo quanto riferito, Rainbow Six Siege è stato nuovamente violato. Questa volta, gli hacker stanno bannando i giocatori e scrivendo messaggi personalizzati all'interno del gioco.

Insieme a Ben Edelman, lo YouTuber MegaLag dimostra una tattica di offuscamento sistematico che inganna deliberatamente i tester e reindirizza le commissioni inosservate. Viene applicato il principio del "dieselgate": il miele identifica i tester e disabilita le funzioni manipolative.

Una serie di chiavi BootROM di PlayStation 5 trapelate, pubblicate online alla fine del 2025, ha esposto segreti di sicurezza fondamentali a livello hardware che, secondo i ricercatori, Sony non può semplicemente applicare alle console esistenti. Sebbene la violazione non consenta un jailbreak immediato, gli esperti avvertono che abbassa significativamente la soglia degli exploit futuri, aprendo potenzialmente la strada a hacking permanenti, software homebrew e rischi diffusi di pirateria.

I giocatori PC stanno finalmente ricevendo un primo assaggio delle funzionalità online di Bloodborne su computer, in quanto l'emulatore ShadPS4, in rapida evoluzione, ora supporta elementi asincroni e un gioco cooperativo limitato. Sebbene l'esperienza rimanga instabile e incompleta, la svolta segna un passo importante verso un'emulazione PS4 completa e un'opzione PC non ufficiale a lungo attesa per il classico di FromSoftware.

Ancora una volta, diversi crimini di alto profilo hanno avuto luogo durante le vacanze di quest'anno. Gli hacker hanno messo a segno un colpo importante con un attacco alla catena di approvvigionamento di Trust Wallet, che a quanto pare ha coinvolto fino a 7 milioni di dollari in criptovalute.

Un intervento alla 39C3 ha rivelato gravi difetti di sicurezza negli smartwatch Xplora. I ricercatori di un'università tedesca hanno mostrato come una chiave universale consenta di accedere alla comunicazione di tutti i bambini con gli orologi Xplora, e perché gli aggiornamenti precedenti del produttore non hanno risolto il problema.

Gli hacker possono utilizzare diversi metodi per rubare gli account nei giochi Ubisoft come Rainbow Six Siege. Una risorsa di cybersicurezza descrive come l'help desk dell'editore sia stato un problema. La corruzione e l'ingegneria sociale sono stati percorsi popolari per compromettere gli agenti dell'assistenza clienti.

I server del popolare gioco sparatutto in prima persona di Ubisoft sono attualmente offline su console e PC. Un sospetto hack ha permesso ad alcuni giocatori di Rainbow Six Siege di ottenere enormi quantità di valuta di gioco. Altri giocatori hanno assistito a ban di massa, spingendo Ubisoft a prendere provvedimenti durante le indagini.

Uno scrittore di un sito web francese sta esortando i giocatori a mantenere privati tutti i dati di PlayStation Network. Un numero ID era tutto ciò che serviva a un hacker per accedere due volte all'account del giornalista. Anche con il 2FA attivo, il supporto PSN richiede informazioni minime per garantire l'accesso agli estranei.

I possessori di dischi fisici hanno un motivo in più per evitare l'era del gioco digitale. Continuano le denunce di hacker che compromettono gli account Microsoft pieni di giochi Xbox. Anche se i giocatori possono dimostrare la loro identità, potrebbero dover ricominciare da zero e riacquistare ogni titolo.

I ricercatori dell'Università di Vienna hanno scoperto delle vulnerabilità all'interno di WhatsApp e Signal che permettono di tracciare l'utente in modo impercettibile attraverso le misurazioni del round-trip time (RTT). Un semplice programma ora disponibile su GitHub dimostra la facilità con cui questa debolezza può essere sfruttata.

I chatbot sono dotati di protezioni integrate progettate per evitare che producano contenuti dannosi, offensivi o comunque inappropriati. Ma i ricercatori e gli hacker hanno dimostrato che, anche con diverse patch, le IA possono ancora essere vulnerabili a determinati input che aggirano tali protezioni. Un modo per esplorare le basi è un gioco online chiamato Gandalf.

Una variante appena scoperta del malware ClickFix si maschera da aggiornamento critico di Windows, utilizzando un falso prompt di aggiornamento a schermo intero per indurre gli utenti a incollare un comando dannoso che garantisce agli aggressori l'accesso amministrativo. I ricercatori di Huntress hanno scoperto che il malware sfrutta il codice nascosto nei dati dei pixel PNG per distribuire potenti infostealer come Rhadamanthys e LummaC2, prendendo di mira credenziali, dati finanziari e portafogli di criptovalute principalmente tramite siti web per adulti con trappole.

In superficie, Internet sembra essere decentralizzato. In realtà, solo pochi attori globali assicurano la funzionalità di siti web e app. Cloudflare, uno dei più grandi, è stato reso indisponibile per ore martedì 18 novembre. Quello che inizialmente sembrava un attacco si è rivelato un semplice errore.

Secondo quanto riferito, le bande con sede in Cina hanno rubato oltre 1 miliardo di dollari agli americani utilizzando truffe avanzate di smishing che sfruttano le SIM farm e i portafogli mobili. Ecco come funziona lo schema transfrontaliero e cosa può fare per proteggersi.

Sony sta affrontando ancora una volta le critiche per non essere riuscita a proteggere gli account di PlayStation Network. Un altro famoso cacciatore di trofei non può più accedere al suo account PSN dopo un hack riuscito. Alcuni giocatori ritengono che gli agenti dell'assistenza clienti, scarsamente addestrati, abbiano fatto trapelare o venduto informazioni protette.

I recenti leak di Pokémon Legends: Z-A sembrano banali rispetto alle nuove rivelazioni di Teraleak. L'hack 2024 di Game Freak è tornato con scoperte sui giochi Pokémon vecchi e nuovi. I giocatori possono scoprire i contenuti rimossi e cosa aspettarsi da un prossimo titolo della 10ª generazione.

Gli hacker sostengono di aver rubato 1,5 TB di dati relativi a Discord, tra cui un'enorme quantità di 2.185.151 immagini di documenti d'identità rilasciati dal governo e selfie inviati per la verifica dell'età, dopo aver compromesso il fornitore di servizi clienti di terze parti Zendesk, e ora stanno cercando di estorcere la piattaforma.

AT&T pagherà 177 milioni di dollari dopo che due importanti violazioni di dati hanno esposto i dati personali di oltre 170 milioni di clienti. Gli utenti interessati possono richiedere fino a 7.500 dollari, ma solo se presentano la domanda prima della scadenza del 18 dicembre 2025.

Discord ha rivelato che 70.000 dei suoi utenti potrebbero aver subito il furto dei loro ID governativi nella recente violazione della sicurezza. L'azienda sta inviando un'e-mail ai titolari di account interessati.

Gli utenti delle console Xbox stanno assistendo alle conseguenze della legge britannica sulla sicurezza online. I giocatori che partecipano al programma Xbox Insider potrebbero notare la richiesta di verificare la propria età. Nonostante le preoccupazioni sulla privacy, le verifiche sono obbligatorie per mantenere l'accesso alle funzioni multiplayer.

Activision sembra essere in grado di combattere la crescente minaccia dell'imbroglio sulle sue piattaforme, assegnando agli imbroglioni divieti su tutta la linea su PC, grazie a un mix di software anti-cheat aggiornati e misure basate sui driver.

Discord ha confermato una violazione dei dati attraverso uno dei suoi fornitori di servizi clienti di terze parti, esponendo nomi di utenti, e-mail e informazioni di fatturazione limitate. L'azienda afferma che gli utenti interessati saranno contattati direttamente dal servizio.

Volvo conferma che si è verificata una fuga di dati dei dipendenti a seguito dell'attacco ransomware Miljödata. La violazione ha interessato il personale della casa automobilistica negli Stati Uniti e in un altro Paese; anche i dipendenti dell'Università di Lund potrebbero essere a rischio.

Boyd Gaming ha confermato un recente attacco informatico in un documento normativo, notando che sono state colpite le informazioni dei dipendenti. L'azienda ha dichiarato che le sue attività di casinò e di ospitalità non sono state colpite, mentre le indagini continuano.

BlockBlasters, un titolo verificato su Steam, è stato rimosso dopo che ha rubato criptovaluta ai giocatori per un valore stimato di 150.000 dollari nell'arco di un mese. Il gioco, rilasciato nel luglio 2025, avrebbe rubato da 261 account di utenti, compreso quello di uno streamer di Twitch che stava raccogliendo donazioni per il suo trattamento del cancro.

CheckMag Dalla costruzione di un pico proiettore che i comuni mortali potrebbero essere in grado di realizzare, all'esecuzione di un server web su una batteria Vape, la comunità hacker non smette mai di stupire. Ecco due dei migliori hack della settimana.

Meno di due mesi dopo aver dimostrato la vulnerabilità "Face Swap", i ricercatori hanno rivelato una vulnerabilità di Windows ancora più grande. La società di sicurezza tedesca ERNW ha rivelato un attacco più avanzato contro Windows Hello, che consente agli aggressori di iniettare i propri modelli di volto negli account delle vittime.

Gli attori delle minacce hanno trovato un modo per aggirare le restrizioni sui link dei post promossi su X, utilizzando l'assistente Grok AI della piattaforma. L'exploit inganna essenzialmente l'assistente AI per promuovere link dannosi sulla piattaforma, nascondendoli in un campo "Da" sotto il post.

Sony ha annunciato che terze parti hanno trovato una vulnerabilità nelle carte IC contactless FeliCa spedite prima del 2017, comprese le popolari carte Suica utilizzate a Tokyo per viaggiare sulla rete ferroviaria JR East. Questa falla consente agli hacker di leggere e modificare i dati della carta.

I ricercatori di ESET hanno identificato PromptLock, un ransomware proof-of-concept che utilizza un modello linguistico ospitato localmente per generare script di attacco su richiesta.

Recentemente, un cliente è stato truffato tramite un numero di assistenza mostrato dalla panoramica AI di Google. Non è stato il primo caso di questo tipo, quindi diffidi dei numeri forniti da queste panoramiche.

È stata rilasciata una nuova versione dell'exploit Bad Update, che porta una percentuale di successo molto più alta e una maggiore stabilità al processo di jailbreak di Xbox 360. YouTubers famosi come MrMario2011 e Modern Vintage Gamer hanno confermato questi miglioramenti. Sebbene il processo rimanga invariato, ora è molto più pratico per l'uso quotidiano, rendendo l'homebrew più accessibile alle console stock e non modificabili.

Microsoft ha distribuito una patch di emergenza per bloccare due exploit zero-day che hanno compromesso i server SharePoint in tutto il mondo.

Gamers Nexus riporta che Asus si trova ad affrontare molteplici problemi di sicurezza nel 2025, con exploit attivi che prendono di mira i suoi router e difetti che riguardano utility come DriverHub, MyAsus e Armory Crate. La copertura avverte che le backdoor persistenti e le vulnerabilità del codice di basso livello rendono gli aggiornamenti del firmware e la rimozione dei software ASUS non necessari essenziali per la sicurezza degli utenti.

ERNW ha scoperto una significativa falla architettonica in Windows Hello for Business di Microsoft che consente agli aggressori con accesso amministrativo di scambiare le identità facciali, permettendo loro di accedere all'account di un altro utente con il proprio volto.

I fan di solito controllano l'account ufficiale di Stellar Blade X per le ultime notizie sul gioco per PC e PS5. Tuttavia, un truffatore di criptovalute ha chiesto ai follower di investire in una nuova moneta. Mentre i post sono scomparsi, lo sviluppatore del gioco deve ancora recuperare l'accesso.

La falla identificata da un ricercatore di Mozilla potrebbe consentire alle e-mail di phishing e agli avvisi di password compromesse di passare attraverso i riassunti dell'AI generati da Gemini. Ma sembra che Google stia lavorando per mitigare queste lacune.

Una falla di sicurezza nel processo di avvio delle principali distribuzioni Linux, tra cui Ubuntu e Fedora, consente a un aggressore con accesso fisico temporaneo di aggirare la crittografia del disco completo e di installare un malware persistente, secondo un nuovo rapporto della società di ricerca sulla sicurezza Ernw.

Qantas, la compagnia aerea nazionale australiana, ha confermato una massiccia violazione della sicurezza che potrebbe aver esposto i dati personali di oltre sei milioni di clienti. Le informazioni compromesse includono nomi, numeri di telefono, indirizzi, date di nascita e numeri di frequent flyer.