News e Stories

DjCanigia · 3 Marzo 2023

Avevamo già discusso precedentemente in questo theard Microsoft ha annunciato che ha deciso di acquisire Activision Blizzard per 68.7 miliardi dell'acquisizione di Activision da parte di Microsoft, ci sono parecchi aggiornamenti da vedere insieme. Ci sono state varie polemiche su questa mossa da parte di Microsoft, sia da parte di agenzie governative come FCA (Federal Trade Commission: agenzia governativa statunitense che promuove la tutela dei consumatori e l'eliminazione e la prevenzione di pratiche commerciali anticoncorrenziali), CMA (Competition and Markets Authority: autorità di regolamentazione della concorrenza nel Regno Unito.), la UE; e sia da parte di società come Sony (Principalmente), Nvidia e Google che avrebbero messo in...

DjCanigia · 1 Marzo 2023

Activision Hackerata leakato database contenente dati dei dipendenti Activision ha confermato in questi giorni di aver avuto un data breach nel mese di dicembre 2022, tramite un sms di phishing che ha tratto in inganno un dipendente delle risorse umane, il quale ha rivelato erroneamente agli hacker le proprie credenziali di accesso. L'azienda afferma: Ciò però non coincide con ciò che è possibile reperire oggi online gratuitamente, infatti su un noto forum di condivisione è stato reso pubblico, in data 27 Febbraio 2023, un database contenente 19.444 record univoci contenenti nomi completi, numeri di telefono, titoli di lavoro, posizioni e indirizzi e-mail di presunti dipendenti di Activision. Attendiamo eventuali spiegazioni da...

DjCanigia · 1 Marzo 2023

PureCrypter il downloader di malware I ricercatori di Menlo Security hanno segnalato diversi attacchi effettuati contro enti governativi delle regioni Asia-Pacifico (APAC) e Nord America, sfruttando PureCrypter, un downloader scritto in .NET che scarica sui computer delle vittime vari tipi di malware, tra cui noti info-stealer e ransomware come Redline Stealer, AgentTesla, Eternity, Blackmoon e Philadelphia Ransomware. Queste minacce vengono fortunatamente rilevate e bloccate dalle principali soluzioni di sicurezza. Diffusione Il tutto inizia da un'email (metodo di diffusione seppur molto conosciuto sempre molto valido) di phishing che contiene il link ad un archivio ZIP ospitato su Discord. Al suo interno è nascosto il loader...

MRPants · 6 Febbraio 2023

Buonasera a tutti comunità di inforge, come ben sapete nella giornata di ieri ci sono stati una serie di disservizi legati a un massiccio attacco hacker in tutta la penisola italiana ma non solo, dai primi rapporti sembrerebbe che il massiccio attacco ha interessato tutto il mondo occidentale . Ma partiamo dalla mattinata di domenica 05/02, l'Italia si sveglia con un pesante disservizio legato alla rete TIM in tutta la penisola tanto pesante da andare ad intaccare pure il funzionamento di ATM bancomat e server governativi , in un primo momento si parla di disservizi non correlati all'attacco ma questo punto è ancora da definire , certo è che l'aziende colpita (TIM ) ha tutto l'interesse nel negare la correlazione parlando di "problemi...

0xbro · 23 Gennaio 2023

Problemi di sicurezza critici su Git - tra cui due possibili Remote Code Execution Un recente audit di sicurezza effettuato sul famoso programma Git ha evidenziato diverse vulnerabilità sullo strumento, alcune delle quali dall'elevato livello di criticità. Evil clone operation (CVE-2022-23521) I gitattributes sono un meccanismo che consente di definire alcuni attributi per specifici paths. Questi possono essere definiti aggiungendo un file .gitattributes al repo, un file contenente un insieme di file patterns e i relativi attributi da impostate per ogni path corrispondente al pattern. Durante il parsing dei gitattributes, però, possono verificarsi diversi integer overflows per ognugno dei seguenti casi: quando c'è un elevato...

DjCanigia · 10 Gennaio 2023

Sony al CES 2023 ha presentato un nuovo controller per Playstation 5 che prende nome "Project Leonardo". Permette di poter godere a pieno della propria console di ultima generazione anche a chi purtroppo ha limitazioni fisiche. Infatti sarà possibile collegare più periferiche per avere accesso completo a più comandi e personalizzare il proprio stile di gioco. Potrà essere utilizzato come controller indipendente oppure abbinato ad altri controller Project Leonardo o altri DualSense, fino a due controller Leonardo e un DualSense contemporaneamente. Include un kit di componenti intercambiabili, tra cui una serie di grip per stick analogici e tasti di diverse forme e dimensioni. Anche ogni tasto potrà essere riconfigurato, ed sarà anche...

0xbro · 26 Novembre 2022

In vendita i dati di 500 milioni di utenti WhatsApp Tratto da WhatsApp data leak: 500 million user records for sale, Cybernews Il 16 Novembre è comparso su un noto forum underground un data-set rubato a WhatsApp, apparentemente datato 2022, comprensivo di 487 milioni di numeri di telefono, appartenenti a 84 nazioni differenti. Secondo le stime, gli stati che hanno subito i leaks più grandi sarebbero: Egitto (45 milioni) USA (32 milioni) Italia (35 milioni) Arabia Saudita (29 milioni) ma ovviamente, oltre a questi, molti altri stati hanno subito leaks di milioni di dati. L'utente che ha postato il leak ha dichiarato di aver venduto il solo leaks degli USA per 7.000 dollari, mentre quello del Regno Unito e della Germania...

Max Fridman · 21 Novembre 2022

Il 28 Ottobre 2022 Twitter è stata acquisito da Elon Musk con un accordo dal valore di 44 miliardi di dollari. Elon ha celebrato l'acquisizione scrivendo "the bird is freed" e "let the good times roll" direttamente sulla piattaforma ora di sua proprietà. Vedi: https://twitter.com/elonmusk/status/1585841080431321088 L'aria di cambiamento, portata dal nuovo proprietario, o meglio la tempesta, avrebbe investito immediatamente il quartier generale di Twitter a San Francisco. Dopo aver decimato i dirigenti ai vertici della società, come ad esempio Pag Agrawal l'ex CEO ma anche Ned Segal il Chief Financial Officer e Bret Taylor ex presidente di Twitter. Ma non solo i vertici della compagnia sono finiti nell'occhio del ciclone. Elon...

0xbro · 17 Novembre 2022

Rubare le password da Mastodon senza bypassare il CSP Tratto da Stealing passwords from infosec Mastodon - without bypassing CSP, PortSwigger Indice: Cos'è Mastodon Mastodon è una piattaforma social che sta prendendo molto piede ultimamente, soprattutto a seguito dell'acquisizione di Twitter da parte di Elon Musk. Ciò che lo caratterizza è il fatto di essere open source e completamente decentralizzato: ognuno può scaricare il codice del software ed hostarne la propria istanza online. Vista la natura del prodotto e visto che non esiste una sola, singola, istanza, sono nati diversi server ognuno dei quali ha regole diverse e tratta tematiche differenti (alcuni dei quali puoi trovarli nell'elenco ufficiale del sito). Ciò però non...

0xbro · 8 Novembre 2022

Nuova funzionalità di Safari apre le porte a diversi scenari di phishing OCR-based Articolo originale: Safari is hot-linking images to semi-random websites (PortSwigger; research) Da poco tempo, su Safari ogni immagine può diventare potenzialmente un URL. Ciò è dovuto a un OCR (Optical Character Recognition) troppo aggressivo che ricerca del testo o degli URL all'interno delle immagini hostate sul web, creando però non pochi falsi positivi e aprendo la pista verso potenziali attacchi phishing. La prima casistica nota che ha "scoperchiato il vaso di Pandora" è stato il link a "zon.com", contenuto all'interno di un immagine di Amazon.com e mostrato, solo su Safari, quando ci si passava sopra con il mouse. Link che, ovviamente, non era...

0xbro · 20 Ottobre 2022

Text4Shell, nuova RCE nella libreria Apache Commons Text Tempo di lettura stimato: 6 min Alvaro Munoz, noto ricercatore di sicurezza informatica, ha recentemente scoperto una nuova vulnerabilità nella libreria Apache Commons Text che permette di eseguire codice arbitrario, classificata con la CVE-2022-42889 e soprannominata comunemente Text4Shell (vista la similitudine con le precedenti Log4Shell e Spring4Shell). https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/ La vulnerabilità ha ottenuto uno score di 9,8 (su un massimo di 10 - scopri come calcolare la gravità di una vulnerabilità informatica) e consente di eseguire codice arbitrario, ma nonostante ciò la probabilità che venga exploitata, se messa a...

Not an engineer · 12 Ottobre 2022

Descrizione Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge sei vulnerability di sicurezza, con gravità "ALTA" Stima d’impatto delle vulnerability sulla community di riferimento # ALTO/ARANCIONE (65,12/100) Tipologie Remote Code Execution Denial of Service Versioni affette Google Chrome, versioni precedenti alla 106.0.5249.119 Mitigazione In linea con le dichiarazioni di Google, si raccomanda di aggiornare il prodotto per Windows, Mac e Linux all’ultima versione disponibile CVE Come indicato dal vender, si riportano i solo indicatori rilevati da ricercatori esterni con gravità "ALTA" CVE-2022-3445 CVE-2022-3446 CVE-2022-3447 CVE-2022-3448 CVE-2022-3449 CVE-2022-3450 Chrome Releases Stable...

Not an engineer · 7 Ottobre 2022

Descrizione Ricercatori di sicurezza hanno recentemente rilevato la distribuzione di un nuovo malware, denominato Chaos, volto a compromettere i server Windows e Linux al fine di inserirli in una botnet per post-exploitation. Nel dettaglio, il codice malevolo sarebbe in grado di propagarsi - all’interno delle reti target - tramite lo sfruttamento di CVE (CVE-2017-17215, CVE-2022-30525) e di usare chiavi SSH precedentemente sottratte o ottenute a seguito di attacchi di tipo brute-force. CVE-2017-17215 | Firewall Huawei CVE-2022-30525 | Prodotti Zyxel Impatti In base alle analisi svolte, il malware, di tipo modulare e scritto in Go, sarebbe in grado di Comunicare con il server di comando and controllo Enumerare l'ambiente host...

0xbro · 30 Settembre 2022

Dataleak nel controllo ortografico di Google Chrome e Microsoft Edge Tempo di lettura stimato: 8 min Durante alcune attività di analisi generica di dataleak sui principali browser, i ricercatori di Otto-js hanno recentemente scoperto una nuova problematica all'interno di Google Chrome e Microsoft Edge dovuta all'utilizzo del controllo ortografico avanzato che faceva trapelare diverse informazioni riservate degli utenti, tra cui password, carte di credito, token, ecc. quando immesse all'interno di web form. I ricercatori hanno battezzato questa issue col nome "Spell-jacking password exposure" e nello specifico impatta tutti i dispositivi che usano Google Chrome con l'"Enhanced Spell Check" abilitato e tutti i dispositivi che usano...

Max Fridman · 6 Settembre 2022

Siamo arrivati al periodo dell'anno in cui Apple annuncia la nuova versione del suo dispositivo più venduto, dal 2007 ad oggi Apple ha venduto oltre 2.2 miliardi di iPhone. Più del 50% del fatturato dell'azienda deriva dalle vendite di iPhone. Per questo tutti gli occhi della stampa, dei consumatori e soprattutto degli investitori sono puntati sul palco dello Steve Jobs Theater. Questo evento, per altro, segna il ritorno degli eventi ospitati in presenza dopo l'assaggio avuto con la WWDC. Anche se sembrerebbe che Apple continuerà a usare una presentazione pre-registrata, intervallata con qualche commento da parte degli executive come Tim Cook e Craig Federighi e le immancabili demo dal vivo. Vedi: https://youtu.be/ux6zXguiqxM Ecco...

0xbro · 26 Agosto 2022

LastPass è stata hackerata, ma al momento non ci sono grossi danni Durante delle analisi di review, due settimane fa sono stati identificati degli accessi non autorizzati all'ambiente di sviluppo di LastPass (come riportato anche nel comunicato ufficiale). Da quanto emerso gli attaccanti hanno avuto accesso a porizioni dell'ambiente di sviluppo tramite un singolo account di uno sviluppatore, compromesso in precedenza. Tramite questo account è stato ottenuto accesso a porizioni di codice sorgente dell'applicativo e ad alcune informazioni tecniche proprietarie di LastPass, però non è stato iniettato codice malevolo nè sono state eseguite azioni distruttive. Vedi...

nfvblog · 20 Giugno 2022

Follina (CVE-2022-30190): il bug che sfrutta MSDT per eseguire codice malevolo tramite file Office Articolo in collaborazione con @0xbro introduzione Storico Questa storia è frutto del pressapochismo perché questo problema in un primo momento fu sminuito da Microsoft che in un primo momento lo vide come un semplice bug ininfluente. Questa vicenda si è svolta tra metà aprile e tutto maggio del 2022, infatti, le prime segnalazioni a Microsoft sono arrivate proprio il 12 aprile da parte del Shadow Chaser Group. La risposta da parte di Microsoft arriva il 21 che chiude il report su MSRC e nei giorni successivi prova con poco successo a porre una patch risolutiva al problema. Il 27 di maggio il servizio di sicurezza Nao pubblica su...

Max Fridman · 28 Maggio 2022

Sony ha annunciato durante, il briefing agli investitori, i suoi piani per il futuro e la crescita del suo business. Un grafico mostrato durante la presentazione suggerisce che si tratterebbe di un notevole aumento rispetto alle uscite di quest'anno, quando circa un quarto delle uscite dell'azienda saranno su PC e dispositivi mobili, mentre il resto sarà suddiviso tra le console PlayStation 4 e PlayStation 5. La presentazione di Sony suggerisce che l'azienda sta già raccogliendo i frutti di titoli come Horizon Zero Dawn, Days Gone e God of War su PC, con vendite nette sulla piattaforma più che triplicate dagli 80 milioni di dollari dell'anno scorso ai 300 milioni previsti per il 2022. Sony ha parlato dei suoi piani per portare più...

0xbro · 16 Aprile 2022

Tempo di lettura stimato: 7 min Per chi non lo conoscesse, RaidForums è stato uno dei più famosi forum di compravendita di data-leaks al mondo. Lanciato nel 2015, si è fatto conoscere sempre di più con il passare del tempo (soprattutto grazie alla pubblicazione di sempre più grossi data-leaks), raggiungendo un totale di circa mezzo milione di iscritti. Sul forum venivano venduti numerosi dati rubati, come files, archivi riservati, programmi craccati, abbonamenti, addirittura le flag di HackTheBox, ma ciò che ha sempre contraddistinto questo forum da tutti gli altri è stata la quasi più totale onnipresenza dei più grandi data-leak degli ultimi anni. Sul forum venivano venduti (e talvolta distribuiti gratuitamente) giga e giga di...

0xbro · 28 Marzo 2022

Chromium: CVE-2022-1096 Type Confusion in V8 Severity: Critical Da qualche giorno è trapelata la notizia dell'esistenza di una nuova vulnerabilità 0day impattante Google Chrome e tutti i browser ideati a partire da Chromium (compresi Brave, Edge e altri). La notizia è stata confermata sia da Google che da Microsoft, inoltre è stato confermato che la falla è "exploited in the wild" (e cièò ci sono evidenze che sia attivamente sfruttata in ambienti reali), anche se i relativi dettagli della vulnerabilità o gli eventuali PoC (proof of concept) non sono ancora stati pubblicati. La CVE-2022-1096 riguarda nello specifico una vulnerabilità della tipologia "Type Confusion" all'interno dell'Engine relativo all'elaborazione del codice...

Max Fridman · 16 Marzo 2022

Vedi: https://youtu.be/m9EX0f6V11Y A differenza dei suoi compagni del Jersey che insistono che i supereroi non sono cool, Kamala Khan, l'eroina della prossima serie di Ms. Marvel della Marvel, pensa che i mantelli siano la cosa più bella del mondo. Naturalmente, vuole diventare lei stessa uno di loro, e nel primo trailer di Ms. Marvel, il desiderio della giovane ragazza inizia a diventare realtà. Dalla creatrice della serie Bisha K. Ali, Ms. Marvel racconta la storia di come Kamala Khan (Iman Vellani), una fan sfegatata di Carol Danvers, scopre per la prima volta i suoi superpoteri nascenti e comincia a farne buon uso quando la supercriminalità comincia a mettere radici a Jersey City. Simile alla sua controparte dei fumetti, la...

Max Fridman · 16 Marzo 2022

Mark Zuckerberg ha dichiarato che Meta sta lavorando per aggiungere gli NFT a Instagram, secondo Engadget e The Daily Beast. Anche se non ha descritto esattamente come l'azienda ha intenzione di procedere, ha detto durante un panel al South By Southwest che "nei prossimi mesi, la capacità di portare su Instagram alcuni dei vostri NFT, si spera nel tempo anche di essere in grado di mintare NFT all'interno di questo ambiente". L'anno scorso, il leader di Instagram Adam Mosseri ha detto che il team stava "attivamente esplorando gli NFT", ma non aveva alcun annuncio effettivo da fare. A gennaio, abbiamo sentito un rapporto che i team di Facebook e Instagram stavano lavorando sull'integrare gli NFT. Il rapporto menzionava che c'erano...

Max Fridman · 9 Marzo 2022

Uno show televisivo live-action di God of War sarebbe in lavorazione, secondo una notizia di Deadline. Amazon sta negoziando con Sony per i diritti per il suo servizio Prime Video, hanno dichiarato le fonti di Deadline. I creatori di The Expanse e i produttori esecutivi Mark Fergus e Hawk Ostby, così come il produttore esecutivo e showrunner di The Wheel of Time Rafe Judkins, si dice siano coinvolti nel progetto. Anche Sony Productions e Sony Pictures Television saranno incluse nello sviluppo. Amazon Studios è particolarmente aggressivo nell'ambito delle acquisizioni. Ha in lavorazione la serie TV su Fallout di Killer Films, con Walton Goggins; sta sviluppando un adattamento della serie Mass Effect; e ha appena chiuso un accordo...

0xbro · 7 Marzo 2022

Attacchi a NVIDIA e Samsung: enormi data leak per entrambe le compagnie Tempo di lettura stimato: 7 min Introduzione Come riportato dalla pagine ufficiale di NVIDIA relativa agli incidenti informatici, il 23 Febbraio 2022 l'azienda ha scoperto di esser stata vittima di un massiccio dataleak. Secondo quanto riportato dalle fonti interne di NVIDIA, l'attacco non sarebbe riconducibile al conflitto tra Russia e Ucraina, né ci sarebbero prove che gli attaccanti abbiano impiantato dei ransomware all'interno dell'azienda. NVIDIA afferma però di essere al corrente del fatto che le credenziali di diversi dipendenti siano state compromesse, così come sono state trafugate e diffuse diverse informazioni relative alla loro proprietà...

MRPants · 27 Febbraio 2022

La guerra in Ucraina e il fronte caldo della cyberwarfare Introduzione La situazione in Ucraina, da un bias diplomatico, sta degenerando in un vero e proprio conflitto. Si delineano i campi di battaglia in aria, su terra e per mare, ma questo conflitto presenta una casistica che vediamo per la prima volta in una vera e propria battaglia: l'ombra di una Cyberwarfare (ref). Se prima un conflitto partiva dal controllo dei cieli e dal taglio degli approvvigionamenti strategici alla nazione difensore, ora vediamo l'aggiunta del conflitto digitale come mezzo per reperire informazioni sul nemico ed andare ad interferire con la sua economia, aggiungendo così un ulteriore tassello alla dottrina occidentale del conflitto, delineata in...

Cerca

News e Stories

Articoli e Discussioni Ufficiali

Mostra solo:

News Entertainment Microsoft riuscirà ad acquisire Activision Blizzard? Ecco tutti gli aggiornamenti a riguardo!

News Security Activision Hackerata leakato database contenente dati dei dipendenti

News Security PureCrypter il downloader di malware

News Security Cyberattacco ransomware a livello globale, gli hacker colpiscono 22 strutture critiche in Italia

News Security Problemi di sicurezza critici su Git

News Tech Sony presenta il controller PS5 detto "Project Leonardo" al CES 2023

News Security In vendita i dati di 500 milioni di utenti WhatsApp

News Tech Twitter diventa un'azienda di Elon Musk il presente e il futuro del quarto sito più visitato al mondo

News Security Mastodon e la falla che consentiva di rubare le credenziali degli utenti

News Security Nuova funzionalità di Safari apre le porte a diversi scenari di phishing OCR-based

News Security Text4Shell, bug critico nella libreria Apache Commons Text

News Security Nuova versione di Google Chrome - Risolte diverse CVE

News Security Diffusione del malware Chaos

News Security Dataleak nel controllo ortografico di Google Chrome e Microsoft Edge

News Tech Cosa potrebbe presentare Apple durante l'evento dedicato all'iPhone 14 e ai suoi accessori

News Security LastPass è stata hackerata: rubati i vault criptati degli utenti

News Security Follina (CVE-2022-30190): il bug che sfrutta MSDT per eseguire codice malevolo tramite file Office

News Entertainment Sony annuncia piani ambiziosi per il suoi videogiochi dall'arrivo su PC e mobile alle serie TV

News Security Chiude RaidForums uno dei più grandi e famosi forum e marketplace di dati sensibili

News Security CVE-2022-1096: vulnerabilità 0day su Google Chrome e tutti i browser Chromium-based

News Entertainment Il primo trailer di Ms. Marvel ci mostra una versione spaziale di Kamala Khan

News Tech Gli NFT arriveranno presto su Instagram secondo Mark Zuckerberg

News Entertainment Amazon Prime Video sta lavorando ad una serie TV su God of War

News Security Attacchi a NVIDIA e Samsung: enormi data leak per entrambe le compagnie

News Security La guerra in Ucraina e il fronte caldo della cyberwarfare