Introduction to OWASP Top 10 2021
A01:2021-Broken Access Control moves up from the fifth position; 94% of applications were tested for some form of broken access control. The 34 CWEs mapped to Broken Access Control had more occurrences in applications than any other category.
https://owasp.org/Top10/
A01:2021-Broken Access Control moves up from the fifth position; 94% of applications were tested for some form of broken access control. The 34 CWEs mapped to Broken Access Control had more occurrences in applications than any other category.
https://owasp.org/Top10/
Euronics colpito da un attacco ransomware. Dati riservati online.
Il ransomware gestito dalla cyber gang Vice Society, ha preso di mira la società Butali, che detiene parte di Euronics, la grande distribuzione specializzata nell'elettronica di consumo, con sede principale ad Amsterdam, nei Paesi Bassi.
https://www.redhotcyber.com/post/euronics-colpito-da-un-attacco-ransomware-dati-sensibili-online
Il ransomware gestito dalla cyber gang Vice Society, ha preso di mira la società Butali, che detiene parte di Euronics, la grande distribuzione specializzata nell'elettronica di consumo, con sede principale ad Amsterdam, nei Paesi Bassi.
https://www.redhotcyber.com/post/euronics-colpito-da-un-attacco-ransomware-dati-sensibili-online
Red Hot Cyber
Euronics colpito da un attacco ransomware. Dati riservati online.
Il ransomware gestito dalla cyber gang Vice Society, ha preso di mira la società Butali, che detiene parte di Euronics, la grande distribuzione specializzata nell’elettronica di consumo, con sede principale ad Amsterdam, nei Paesi Bassi. I membri di Euronics…
Costo del phishing quadruplicato dal 2015
Non è facile calcolare quanto costi il phishing alle aziende perché la cifra dipende dalle dimensioni dell’impresa e dalla vastità dell’attacco.
Ma Proofpoint, insieme a Ponemon Institute, ha provato a dare una risposta con una ricerca condotta intervistando 600 professionisti dell’IT e della sicurezza informatica operanti in realtà con più di 100 dipendenti.
Il risultato è che l’impatto economico del phishing è decisamente elevato: è quadruplicato negli ultimi sei anni. Nel 2015 la spesa media era di 3,8 milioni di dollari, mentre nel 2021 la cifra è cresciuta sino a 14,8 milioni di dollari, circa 1.500 dollari per dipendente.
https://sicurezza.net/cyber-security/costo-phishing-quadruplicato-2015
Non è facile calcolare quanto costi il phishing alle aziende perché la cifra dipende dalle dimensioni dell’impresa e dalla vastità dell’attacco.
Ma Proofpoint, insieme a Ponemon Institute, ha provato a dare una risposta con una ricerca condotta intervistando 600 professionisti dell’IT e della sicurezza informatica operanti in realtà con più di 100 dipendenti.
Il risultato è che l’impatto economico del phishing è decisamente elevato: è quadruplicato negli ultimi sei anni. Nel 2015 la spesa media era di 3,8 milioni di dollari, mentre nel 2021 la cifra è cresciuta sino a 14,8 milioni di dollari, circa 1.500 dollari per dipendente.
https://sicurezza.net/cyber-security/costo-phishing-quadruplicato-2015
sicurezza.net
Costo del phishing quadruplicato dal 2015 - sicurezza.net
Nel 2015 un attacco di phishing costava in media 3,8 milioni di dollari, mentre oggi la cifra sfiora i 15 milioni: il costo è quadruplicato.
BRATA malware per dispositivi Android spacciato per AntiSPAM
Nel corso delle attività di monitoraggio il CERT-AGID ha rilevato un dominio di recente registrazione ai danni di clienti di banca Intesa San Paolo. La pagina di phishing, in lingua italiana e accessibile solo tramite uno user-agent “Android”, è progettata per sottrarre le credenziali di accesso e salvarle in un file di testo all’interno di [...]
by CERT-AgID - https://cert-agid.gov.it/news/brata-malware-per-dispositivi-android-spacciato-per-antispam/
Nel corso delle attività di monitoraggio il CERT-AGID ha rilevato un dominio di recente registrazione ai danni di clienti di banca Intesa San Paolo. La pagina di phishing, in lingua italiana e accessibile solo tramite uno user-agent “Android”, è progettata per sottrarre le credenziali di accesso e salvarle in un file di testo all’interno di [...]
by CERT-AgID - https://cert-agid.gov.it/news/brata-malware-per-dispositivi-android-spacciato-per-antispam/
CERT-AGID
BRATA malware per dispositivi Android spacciato per AntiSPAM
Paid influencers must label posts as ads, German court rules
Social media influencers who receive money from companies to promote products must clearly label such posts as advertisements, a top German court ruled on Thursday.
If the influencers are not paid, they can show products without the advertising label, the Federal Court of Justice ruled in the cases of three influencers on Facebook's (FB.O) social media site Instagram.
https://www.reuters.com/technology/paid-influencers-must-label-posts-ads-german-court-rules-2021-09-09/
Social media influencers who receive money from companies to promote products must clearly label such posts as advertisements, a top German court ruled on Thursday.
If the influencers are not paid, they can show products without the advertising label, the Federal Court of Justice ruled in the cases of three influencers on Facebook's (FB.O) social media site Instagram.
https://www.reuters.com/technology/paid-influencers-must-label-posts-ads-german-court-rules-2021-09-09/
Reuters
Paid influencers must label posts as ads, German court rules
Social media influencers who receive money from companies to promote products must clearly label such posts as advertisements, a top German court ruled on Thursday.
È il caso di farsi qualche domanda sulla privacy dei Ray-Ban smart di Facebook
Il primo problema è palese: quando le fotocamere integrate negli occhiali stanno registrando, si attiva un piccolo led bianco sia nell’angolo destro all’interno che all’esterno della montatura. Per allertare chi ci sta di fronte che è in corso una registrazione. Secondo le indagini di Facebook, il bianco sarebbe più visibile del rosso o del blu.
https://www.wired.it/attualita/tech/2021/09/10/ray-ban-stories-facebook-privacy/
Il primo problema è palese: quando le fotocamere integrate negli occhiali stanno registrando, si attiva un piccolo led bianco sia nell’angolo destro all’interno che all’esterno della montatura. Per allertare chi ci sta di fronte che è in corso una registrazione. Secondo le indagini di Facebook, il bianco sarebbe più visibile del rosso o del blu.
https://www.wired.it/attualita/tech/2021/09/10/ray-ban-stories-facebook-privacy/
WIRED.IT
È il caso di farsi qualche domanda sulla privacy dei Ray-Ban smart di Facebook
Diversi gli aspetti scivolosi dei nuovi smartglass: dalla spia di registrazione all'impossibilità di bloccare in remoto gli occhiali in caso di smarrimento fino all'uso dei metadati su foto e video e agli abusi possibili
Revealed: Google illegally underpaid thousands of workers across dozens of countries
More than 30 countries, including the UK, the EU member states, India and Taiwan, have enacted “pay parity” or “equal treatment” laws that require temporary workers to be treated equally to full-time employees (FTEs) who perform the same or similar work, according to Google’s internal guidance on the laws. The US, where the majority of Google’s temps are based, does not have any such protections.
https://www.theguardian.com/technology/2021/sep/10/google-underpaid-workers-illegal-pay-disparity-documents
More than 30 countries, including the UK, the EU member states, India and Taiwan, have enacted “pay parity” or “equal treatment” laws that require temporary workers to be treated equally to full-time employees (FTEs) who perform the same or similar work, according to Google’s internal guidance on the laws. The US, where the majority of Google’s temps are based, does not have any such protections.
https://www.theguardian.com/technology/2021/sep/10/google-underpaid-workers-illegal-pay-disparity-documents
the Guardian
Revealed: Google illegally underpaid thousands of workers across dozens of countries
Documents show company dragged feet to correct disparity after learning it was failing to comply with local laws in UK, Europe and Asia
Fortinet VPN: 1000 realtà italiane ancora a rischio?
TL;DR VPN di Fortinet non patchate mettono a serio rischio oltre 900 realtà italiane, dopo la diffusione di… Source
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/fortinet-vpn-1000-realta-italiane-ancora-a-rischio/20034
TL;DR VPN di Fortinet non patchate mettono a serio rischio oltre 900 realtà italiane, dopo la diffusione di… Source
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/fortinet-vpn-1000-realta-italiane-ancora-a-rischio/20034
Il blog di Michele Pinassi
Fortinet VPN: 1000 realtà italiane ancora a rischio? • Il blog di Michele Pinassi
TL;DR VPN di Fortinet non patchate mettono a serio rischio oltre 900 realtà italiane, dopo la diffusione di oltre 500.000 credenziali da parte del gruppo ransomware Groove La notizia che un attore ha…
Germany admits police used controversial Pegasus spyware
The German government admitted Tuesday that its federal police service used controversial Israeli spyware known as Pegasus, parliamentary sources told, drawing immediate criticism from rights groups.
Germany's BKA federal police bought the software from Israel's NSO Group in late 2019, a closed-door parliamentary committee heard from government officials.
https://economictimes.indiatimes.com/news/international/world-news/germany-admits-police-used-controversial-pegasus-spyware/articleshow/86015808.cms
The German government admitted Tuesday that its federal police service used controversial Israeli spyware known as Pegasus, parliamentary sources told, drawing immediate criticism from rights groups.
Germany's BKA federal police bought the software from Israel's NSO Group in late 2019, a closed-door parliamentary committee heard from government officials.
https://economictimes.indiatimes.com/news/international/world-news/germany-admits-police-used-controversial-pegasus-spyware/articleshow/86015808.cms
The Economic Times
Germany admits police used controversial Pegasus spyware
Germany's BKA federal police bought the software from Israel's NSO Group in late 2019, a closed-door parliamentary committee heard from government officials. The admission, recounted to AFP by sources at the meeting, confirmed earlier reports in German media…
Cybersecurity post pandemia, ecco cosa tenere presente
In una società sempre più abituata a interazioni digital-first, l’indagine promossa da IBM Security (e condotta da Morning Consult su un campione di 22.000 adulti in 22 Paesi) ha dimostrato come scelte basate sulla comodità spesso superino le preoccupazioni in tema di sicurezza e privacy, determinando una scarsa attenzione nella generazione di password e comportamenti superficiali che minano la cybersecurity.
https://www.zerounoweb.it/techtarget/searchsecurity/cybersecurity/cybersecurity-post-pandemia-ecco-cosa-tenere-presente/
In una società sempre più abituata a interazioni digital-first, l’indagine promossa da IBM Security (e condotta da Morning Consult su un campione di 22.000 adulti in 22 Paesi) ha dimostrato come scelte basate sulla comodità spesso superino le preoccupazioni in tema di sicurezza e privacy, determinando una scarsa attenzione nella generazione di password e comportamenti superficiali che minano la cybersecurity.
https://www.zerounoweb.it/techtarget/searchsecurity/cybersecurity/cybersecurity-post-pandemia-ecco-cosa-tenere-presente/
ZeroUno
Cybersecurity post pandemia, ecco cosa tenere presente | ZeroUno
Un recente studio promosso da IBM Security ha dimostrato come scelte basate sulla comodità spesso superino le preoccupazioni in tema di sicurezza e privacy, determinando una scarsa attenzione nella generazione di password e comportamenti superficiali
Cybersecurity, per il 64% dei giovani dipendenti “è una perdita di tempo”
Se da un lato il 94% dei responsabili IT, “nonostante l’aumento delle minacce e avvertendo la pressione interna, ha dovuto sacrificare in parte la sicurezza a favore della continuità del business – si legge nel report – spesso anche i dipendenti non si sono correttamente adeguati ai livelli di sicurezza richiesti”. Quasi la metà (il 48%) dei dipendenti più giovani – la categoria fra i 18 e i 24 anni – considera gli strumenti di sicurezza come un ostacolo e il 64% le considera addirittura una perdita di tempo. E il 31% cerca di aggirare le policy aziendali per portare a termine il proprio lavoro.
https://www.corrierecomunicazioni.it/cyber-security/cybersecurity-per-il-64-dei-giovani-dipendenti-e-una-perdita-di-tempo/
Se da un lato il 94% dei responsabili IT, “nonostante l’aumento delle minacce e avvertendo la pressione interna, ha dovuto sacrificare in parte la sicurezza a favore della continuità del business – si legge nel report – spesso anche i dipendenti non si sono correttamente adeguati ai livelli di sicurezza richiesti”. Quasi la metà (il 48%) dei dipendenti più giovani – la categoria fra i 18 e i 24 anni – considera gli strumenti di sicurezza come un ostacolo e il 64% le considera addirittura una perdita di tempo. E il 31% cerca di aggirare le policy aziendali per portare a termine il proprio lavoro.
https://www.corrierecomunicazioni.it/cyber-security/cybersecurity-per-il-64-dei-giovani-dipendenti-e-una-perdita-di-tempo/
CorCom
Cybersecurity, per il 64% dei giovani dipendenti “è una perdita di tempo” - CorCom
È quanto emerge da uno studio di Hp. Per l'80% dei dipartimenti IT occuparsi di sicurezza sta diventando "un compito ingrato". Contrasti crescenti con l'aumento dello smart working. E aumenta il rischio di violazione delle reti aziendali. Ian Pratt: “Servono…
Attacco hacker agli USA e la Polizia piomba nell’officina di un meccanico di Pistoia
In realtà le pattuglie sono state catapultate sul posto per un attacco informatico avvenuto tra dicembre e gennaio scorsi. Si trattava di un azione massiva, mandata a segno (come tradizione vuole) utilizzando una infinità di computer “zombie”, ovvero opportunamente infettati da istruzioni maligne che li indirizzano a compiere azioni indesiderate dagli utenti e nocive per i sistemi presi di mira.
https://www.infosec.news/2021/09/13/news/sicurezza-digitale/attacco-hacker-agli-usa-e-la-polizia-piomba-nellofficina-di-un-meccanico-di-pistoia/
In realtà le pattuglie sono state catapultate sul posto per un attacco informatico avvenuto tra dicembre e gennaio scorsi. Si trattava di un azione massiva, mandata a segno (come tradizione vuole) utilizzando una infinità di computer “zombie”, ovvero opportunamente infettati da istruzioni maligne che li indirizzano a compiere azioni indesiderate dagli utenti e nocive per i sistemi presi di mira.
https://www.infosec.news/2021/09/13/news/sicurezza-digitale/attacco-hacker-agli-usa-e-la-polizia-piomba-nellofficina-di-un-meccanico-di-pistoia/
Riscontrata e contrastata campagna di malware sLoad veicolata via PEC
Grazie anche alla proficua collaborazione con i gestori di infrastrutture PEC, è stata individuata e contrastata in data odierna una campagna sLoad veicolata via PEC partita nella tarda serata dello scorso 12 Settembre. L’allegato, in formato ZIP, contiene il classico loader scritto in Windows Script File (fiscale.wsf), un file PDF e un terzo file PNG. Il codice [...]
by CERT-AgID - https://cert-agid.gov.it/news/riscontrata-e-contrastata-campagna-di-malware-sload-veicolata-via-pec/
Grazie anche alla proficua collaborazione con i gestori di infrastrutture PEC, è stata individuata e contrastata in data odierna una campagna sLoad veicolata via PEC partita nella tarda serata dello scorso 12 Settembre. L’allegato, in formato ZIP, contiene il classico loader scritto in Windows Script File (fiscale.wsf), un file PDF e un terzo file PNG. Il codice [...]
by CERT-AgID - https://cert-agid.gov.it/news/riscontrata-e-contrastata-campagna-di-malware-sload-veicolata-via-pec/
CERT-AGID
Riscontrata e contrastata campagna di malware sLoad veicolata via PEC
Lettera aperta ai candidati sindaci sul digitale
Cari candidati e candidate,
mai come oggi le vite dei cittadini sono collegate ai computer. I nostri sistemi amministrativi e sociali sono tutt’uno con le reti di computer che li fanno funzionare. Le reti informatiche tengono in piedi i servizi pubblici, la finanza, la sanità, e tutto il tessuto produttivo italiano. Attraverso il digitale oggi si creano e viaggiano i rapporti sociali, aggregativi, familiari e anche elettorali.
https://www.wired.it/attualita/politica/2021/09/13/elezioni-sindaco-2021-digitale-programmi/
Cari candidati e candidate,
mai come oggi le vite dei cittadini sono collegate ai computer. I nostri sistemi amministrativi e sociali sono tutt’uno con le reti di computer che li fanno funzionare. Le reti informatiche tengono in piedi i servizi pubblici, la finanza, la sanità, e tutto il tessuto produttivo italiano. Attraverso il digitale oggi si creano e viaggiano i rapporti sociali, aggregativi, familiari e anche elettorali.
https://www.wired.it/attualita/politica/2021/09/13/elezioni-sindaco-2021-digitale-programmi/
WIRED.IT
Lettera aperta ai candidati sindaci sul digitale
Wired pubblica l'appello di un gruppo di esperti che elenca ai candidati alle amministrative le priorità in campo tecnologico, sempre più centrali nell'amministrazione di una città
Sintesi riepilogativa delle campagne malevole nella settimana del 04 – 10 settembre 2021
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole di cui 23 con obiettivi italiani e 4 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 354 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-04-10-settembre-2021/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole di cui 23 con obiettivi italiani e 4 generiche veicolate anche in Italia, mettendo a disposizione dei suoi enti accreditati i relativi 354 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-04-10-settembre-2021/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 04 – 10 settembre 2021
How to Defend Yourself Against the Powerful New NSO Spyware Attacks Discovered Around the World
There may be no such thing as perfect security, as one classic adage in the field states, but that’s no excuse for passivity. Here, then, are practical steps you can take to reduce your “attack surface” and protect yourself against spyware like NSO’s.
https://theintercept.com/2021/07/27/pegasus-nso-spyware-security/
There may be no such thing as perfect security, as one classic adage in the field states, but that’s no excuse for passivity. Here, then, are practical steps you can take to reduce your “attack surface” and protect yourself against spyware like NSO’s.
https://theintercept.com/2021/07/27/pegasus-nso-spyware-security/
The Intercept
How to Defend Yourself Against the Powerful New NSO Spyware Attacks Discovered Around the World
Even iPhones were vulnerable to the surveillance software, which appears to have been used against activists, journalists, and others.
+++ BREAKING NEWS +++
Riceviamo notizie che l'Azienda Ospedaliera San Giovanni Addolorata di ROMA sia stata colpita da attacco #ransomware e tutti i suoi sistemi informatici siano fuori servizio.
Riceviamo notizie che l'Azienda Ospedaliera San Giovanni Addolorata di ROMA sia stata colpita da attacco #ransomware e tutti i suoi sistemi informatici siano fuori servizio.
WSJ uncovers Facebook's secret policy that allows "elite" users to bully people and incite violence
The program, known as "cross check" or "XCheck," was initially intended as a quality-control measure for actions taken against high-profile accounts, including celebrities, politicians and journalists. Today, it shields millions of VIP users from the company's normal enforcement process, the documents show. Some users are "whitelisted"—rendered immune from enforcement actions—while others are allowed to post rule-violating material pending Facebook employee reviews that often never come.
https://boingboing.net/2021/09/13/wsj-uncovers-facebooks-secret-policy-that-allows-elite-users-to-bully-people-and-incite-violence.html
The program, known as "cross check" or "XCheck," was initially intended as a quality-control measure for actions taken against high-profile accounts, including celebrities, politicians and journalists. Today, it shields millions of VIP users from the company's normal enforcement process, the documents show. Some users are "whitelisted"—rendered immune from enforcement actions—while others are allowed to post rule-violating material pending Facebook employee reviews that often never come.
https://boingboing.net/2021/09/13/wsj-uncovers-facebooks-secret-policy-that-allows-elite-users-to-bully-people-and-incite-violence.html
Boing Boing
WSJ uncovers Facebook's secret policy that allows "elite" users to bully people and incite violence
Zuckerberg makes a big deal about Facebook’s democratizing power, which puts all its users on equal footing and lets the truth speak to power. But given that Zuckerberg often states the oppos…
Referendum cannabis legale: potete ancora firmare!
Si propone di depenalizzare la condotta di coltivazione di qualsiasi sostanza per uso personale intervenendo sulla disposizione di cui all’art. 73, comma 1, e di eliminare la pena detentiva per qualsiasi condotta illecita relativa alla Cannabis, con eccezione della associazione finalizzata al traffico illecito di cui all’art. 74, intervenendo sul 73, comma 4.
...anche via SPID, comodamente dal soggiorno di casa vostra!
https://referendumcannabis.it/
Si propone di depenalizzare la condotta di coltivazione di qualsiasi sostanza per uso personale intervenendo sulla disposizione di cui all’art. 73, comma 1, e di eliminare la pena detentiva per qualsiasi condotta illecita relativa alla Cannabis, con eccezione della associazione finalizzata al traffico illecito di cui all’art. 74, intervenendo sul 73, comma 4.
...anche via SPID, comodamente dal soggiorno di casa vostra!
https://referendumcannabis.it/