Per capire meglio: quando premiamo il tasto di accensione dello smartphone, non parte subito Android o iOS. Prima entra in funzione una sorta di “controllore iniziale” che verifica che tutto sia sicuro e autentico. Questo processo è noto come catena di avvio sicuro. Se qualcosa va storto proprio in questa fase, è come costruire una casa su fondamenta instabili: tutto il sistema può essere compromesso.

I chip interessati

La vulnerabilità individuata riguarda diversi chip Qualcomm utilizzati in smartphone, tablet, dispositivi IoT (come sensori intelligenti o elettrodomestici connessi) e persino componenti automobilistici. In pratica, un attaccante con accesso fisico al dispositivo potrebbe sfruttare una modalità speciale chiamata Emergency Download Mode (EDL). Questa modalità è pensata per riparare o ripristinare un dispositivo, ma può diventare una porta d’ingresso per attacchi.

Un esempio concreto: immaginiamo di lasciare lo smartphone in assistenza o incustodito per qualche minuto. In quel breve tempo, un malintenzionato potrebbe collegarlo a un computer, sfruttare questa vulnerabilità e installare un software nascosto (una “backdoor”) capace di spiare attività e dati. Tra le informazioni a rischio ci sono password, file personali, contatti, posizione geografica e persino accesso a fotocamera e microfono.

Ciò che rende questa minaccia particolarmente insidiosa è la difficoltà nel rilevarla e rimuoverla. Il malware installato a questo livello può sopravvivere anche a un riavvio tradizionale del dispositivo. In alcuni casi, il sistema potrebbe simulare uno spegnimento senza effettuarlo davvero. Gli esperti suggeriscono che l’unico modo per essere certi di un riavvio completo è interrompere totalmente l’alimentazione, ad esempio lasciando scaricare completamente la batteria.

La questione non riguarda solo gli utenti finali, ma anche la cosiddetta supply chain, cioè la filiera di produzione e distribuzione dei dispositivi. Un attacco potrebbe avvenire prima ancora che il prodotto arrivi nelle mani dell’utente.

Cosa fare quindi? Le raccomandazioni sono semplici ma importanti:

• evitare di lasciare dispositivi incustoditi o in mani non fidate
• prestare attenzione durante riparazioni o assistenza
• utilizzare solo centri autorizzati
• in caso di dubbi, effettuare un riavvio completo interrompendo l’alimentazione

*Illustrazione by Freepik

Secondo l’analisi dei ricercatori di Kaspersky, il 9 aprile 2026 il sito è stato compromesso e i file originali sono stati sostituiti con versioni modificate contenenti malware. In pratica, chi scaricava il programma per controllare temperatura o prestazioni del proprio computer installava inconsapevolmente anche una “porta sul retro” nel sistema.

Ma cosa significa davvero? Immagina di comprare un elettrodomestico nuovo, perfettamente sigillato, ma dentro qualcuno ha nascosto un dispositivo che permette a un estraneo di entrare in casa quando vuole. È esattamente quello che fa una backdoor: consente a un attaccante di accedere al computer da remoto, rubare dati o controllarlo.

Il malware individuato, chiamato STX RAT (Remote Access Trojan), è uno strumento completo di controllo remoto. Una volta attivo, può ad esempio:

• leggere file personali
• registrare ciò che digiti sulla tastiera
• installare altri programmi dannosi

L’aspetto più insidioso dell’attacco è la modalità con cui è stato diffuso. Non si tratta di email sospette o link strani, ma di un caso di “supply chain attack”, cioè un attacco alla catena di distribuzione. In altre parole, invece di colpire direttamente gli utenti, gli hacker hanno compromesso una fonte considerata affidabile: il sito ufficiale.

Durante quelle 19 ore, i link di download reindirizzavano a server controllati dagli attaccanti. I file infetti contenevano sia il programma originale (per non destare sospetti), sia una libreria malevola che attivava l’infezione.

Le vittime confermate sono oltre 150, distribuite in vari Paesi e settori, anche se la maggior parte sono utenti privati. Numeri che potrebbero essere solo la punta dell’iceberg, considerando la diffusione globale di questi software.

C’è però un elemento che ha limitato i danni: gli attaccanti hanno riutilizzato strumenti già noti. Questo ha permesso ai software di sicurezza aggiornati di riconoscere e bloccare il malware. Un po’ come un antivirus che riesce a fermare un virus già conosciuto perché ne ha “memorizzato” le caratteristiche.

Cosa fare?

Per chi ha scaricato CPU-Z o HWMonitor tra il 9 e il 10 aprile, gli esperti consigliano alcune verifiche:

• eseguire una scansione completa del sistema con un antivirus aggiornato
• controllare eventuali attività sospette di rete
• verificare la presenza di file anomali nelle cartelle del programma

Questo episodio dimostra quanto sia cambiato il panorama delle minacce informatiche. Non basta più evitare email sospette: anche le fonti più affidabili possono diventare, temporaneamente, un veicolo di attacco.

*Illustrazione progettata da Securelist

L’azienda ha infatti aperto la “Call for Papers”, ovvero l’invito rivolto a ricercatori e professionisti a presentare studi, analisi e casi concreti legati alla sicurezza informatica. In parole semplici, è un’occasione per condividere scoperte e tecniche utilizzate per individuare e contrastare le minacce digitali.

I temi dell’edizione

Il summit, giunto alla sua 18ª edizione, è considerato uno degli appuntamenti più importanti del settore. Qui vengono analizzati gli attacchi più avanzati e le nuove strategie di difesa. Tra i temi al centro dell’edizione 2026 ci saranno le cosiddette Advanced Persistent Threats (APT), ovvero attacchi mirati e silenziosi che possono restare nascosti nei sistemi per mesi, un po’ come un ladro che entra in casa e si nasconde senza farsi notare. Spazio anche alla sicurezza delle infrastrutture critiche, come reti elettriche o sistemi industriali, e agli attacchi IoT, cioè quelli che sfruttano dispositivi connessi come telecamere o elettrodomestici intelligenti. Non mancheranno approfondimenti su ransomware (virus che bloccano i dati chiedendo un riscatto), vulnerabilità zero-day (falle sconosciute ai produttori e quindi difficili da difendere) e rischi legati alla supply chain, cioè alla catena di fornitori software.

L’IA al centro del summit

Un ruolo sempre più centrale sarà occupato anche dall’intelligenza artificiale, utilizzata sia per difendere i sistemi sia, purtroppo, dai cybercriminali per rendere gli attacchi più credibili ed efficaci.

Accanto alle sessioni di ricerca, tornerà anche la competizione “Capture the Flag” (CTF), una sfida tra esperti di sicurezza che devono risolvere problemi tecnici e simulazioni di attacco in tempi rapidi. È un po’ come una gara di enigmi digitali: vince chi riesce a “bucare” sistemi simulati o a difenderli nel modo più efficace. Le qualificazioni si terranno online a giugno e porteranno le migliori squadre alla finale, con un montepremi di 18.000 dollari.

Oltre all’aspetto competitivo, eventi come il SAS hanno un valore più ampio: permettono di condividere informazioni reali su attacchi e difese, aiutando aziende e istituzioni a prepararsi meglio. Come sottolineato dal fondatore Eugene Kaspersky, comprendere le minacce di oggi è essenziale per anticipare quelle di domani.

Leggi anche: “Milano ospita CyberRes 2026“

Nasce per le cripto

Questo piccolo miniPC e il suo sistema operativo Umbrel OS, Open Source e basato su Linux, nascono per la creazione di un nodo Bitcoin e di altre attività legate alle criptovalute. Nel tempo, però, grazie all’uso della virtualizzazione e di Docker, l’insieme è cresciuto e ora mette a disposizione decine di applicazioni divise in categorie: File & Produttività, Bitcoin, Finanza, Media, Networking, Social, Casa & Automazione, AI, Strumenti per sviluppatori e Cripto. Ognuna contiene molte applicazioni installabili con un clic o poco più.

Il vero punto di forza di Umbrel OS è lo store da cui potete scaricare decine di programmi, ordinati in categorie, spiegati e installabili con un clic. E c’è davvero tutto quel che serve per crearsi un cloud personale. Inoltre, l’app dello store segnala anche gli aggiornamenti dei programmi installati

Lo accendi e via… per mille usi

La macchina non ha una porta HDMI o DisplayPort per collegare un monitor: tutto si gestisce via browser. Si collega il cavo di rete (poi si potrà usare il Wi-Fi al suo posto) e appena si inserisce l’alimentatore la macchina parte.  L’interfaccia Web è accessibile all’URL http://umbrel.local ed è di facile comprensione, a icone, con un aspetto gradevole e pulito. In basso nell’homepage troviamo sei icone per tornare alla home, il ricchissimo store delle app, il file manager, le impostazioni, gli strumenti di controllo delle prestazioni e quello per personalizzare l’homepage. Nel box Specifiche in questa pagina trovate tutte le caratteristiche dell’hardware che fa funzionare il sistema operativo
Umbrel OS, in versione 1.5. Il modello ricevuto in prova ha un’unità NVMe da 1 TB, ma è possibile acquistare Umbrel Home con NVMe di tagli maggiori, 2 o 4 TB e un taglio inferiore, 512 GB. Quest’ultimo ci sembra troppo poco, onestamente, se abbiamo intenzione di installare tante applicazioni (che a loro volta dovranno memorizzare dei file). La potenza espressa da questa piattaforma ci è parsa più che sufficiente per far funzionare più di un server alla volta, senza esagerare ovviamente: il tool che ci mostra la percentuale d’uso della CPU e della RAM è utile per controllare se si sta esagerando. Comunque è possibile fermare e riavviare i vari servizi installati con un clic. Abbiamo riscontrato
qualche intoppo solo con alcune app per l’IA: a volte partivano, altre no, altre ancora rispondevano solo dopo un po’ di tempo dal loro avvio. Dopo un reset totale, invece, tutto ha funzionato a dovere. Ci siamo trovati bene anche con le app di produttività come LibreOffice e OwnCloud (app per la creazione di uno storage cloud personale) così come abbiamo trovato utili quelle per la gestione delle finanze personali, Home Assistant per la casa domotica e Plex peri il media center. Immancabile l’uso di Pi-Hole per bloccare le pubblicità invasive.

SPECIFICHE
CPU: Intel N150 (Quad-Core, 3,6 GHz)
RAM: 16 GB DDR5
Storage: 1 TB NVMe SSD
Porte: 3 USB 3.0, 1 Gigabit Ethernet
Connessioni: Wi-Fi 6, Bluetooth 5.1
Sistema operativo: umbrelOS

Sito Internet: https://umbrel.com/

Quanto costa: € 349

Secondo quanto emerso, soggetti non autorizzati potrebbero aver consultato dati come nomi, indirizzi email, numeri di telefono e dettagli delle prenotazioni. In parole semplici, si tratta delle stesse informazioni che inseriamo quando prenotiamo un hotel o un appartamento online. È importante sottolineare che, almeno secondo le dichiarazioni dell’azienda, non sarebbero stati compromessi dati finanziari come carte di credito o informazioni di pagamento. 

Per capire meglio: anche senza i dati bancari, un criminale informatico può sfruttare le informazioni rubate per costruire truffe molto credibili. Ad esempio, potrebbe inviare un’email fingendosi l’hotel prenotato, includendo dettagli reali del viaggio (date, nome della struttura), e chiedere un pagamento urgente o la verifica della carta. Questo tipo di attacco si chiama “phishing”, ed è particolarmente efficace proprio perché sembra autentico.

L’azienda ha dichiarato di aver individuato attività sospette e di aver agito rapidamente per contenere l’incidente, notificando gli utenti coinvolti e aggiornando i codici di sicurezza (PIN) associati alle prenotazioni. Tuttavia, non è stato comunicato il numero esatto delle persone coinvolte, un elemento che rende difficile valutare la reale portata dell’attacco.

Questo episodio non è isolato. Negli ultimi anni, il settore dei viaggi online è diventato un bersaglio sempre più frequente per i cybercriminali. Il motivo è semplice: queste piattaforme gestiscono enormi quantità di dati personali e rappresentano un punto di incontro tra utenti e strutture ricettive, aumentando le possibilità di attacco.

Leggi anche: “Hotels.com, Booking.com, Expedia vittime di violazioni, milioni di informazioni online“

*Illustrazione progettata da Freepick

Negli ultimi anni, infatti, le minacce digitali sono diventate sempre più frequenti e sofisticate. Dai ransomware – virus che bloccano i dati chiedendo un riscatto – agli attacchi che colpiscono le infrastrutture critiche, nessuna realtà è davvero al sicuro. È qui che entra in gioco la cyber resilienza: un approccio che combina sicurezza, gestione del rischio e continuità operativa.

Per capire meglio, immaginiamo un’azienda che subisce un attacco e perde l’accesso ai propri sistemi. La sicurezza informatica tradizionale punta a evitare che questo accada. La resilienza, invece, si concentra anche su cosa succede dopo: l’azienda ha backup aggiornati? I dipendenti sanno come comportarsi? I servizi possono continuare a funzionare, magari in modalità ridotta?

CyberRes nasce proprio con l’obiettivo di fornire risposte concrete a queste domande. L’evento è rivolto a figure decisionali come CEO, CIO, CISO e responsabili di cybersecurity, risk e compliance, ma i temi trattati riguardano sempre più da vicino anche realtà più piccole e meno strutturate.

Durante l’incontro verranno condivise esperienze reali, strategie e strumenti per affrontare le crisi informatiche. Si parlerà, ad esempio, di business continuity, ovvero la capacità di un’organizzazione di continuare a operare anche in condizioni difficili, e di gestione del rischio, cioè l’insieme di pratiche per identificare e ridurre le vulnerabilità prima che vengano sfruttate.

Un aspetto interessante sarà l’approccio pratico: non solo teoria, ma casi concreti e soluzioni applicabili. Questo è particolarmente importante in un contesto in cui molte aziende, soprattutto le PMI, faticano a tradurre i concetti di sicurezza in azioni operative.

Il programma completo del CyberRes è consultabile a questo link, mentre per partecipare all’evento basta registrarsi al seguente link

Leggi anche: “Cyberattacchi a scuole e università“

Il dato più impressionante riguarda gli “infostealer”, una categoria di malware progettata per rubare informazioni sensibili. Nell’ultimo anno, questi software malevoli hanno contribuito alla compromissione di oltre un milione di conti bancari online. Ma cosa sono, in concreto? Immaginiamo un programma nascosto nel computer o nello smartphone che, senza farsi notare, copia tutto ciò che può essere utile: password salvate nel browser, numeri di carte, dati inseriti automaticamente nei moduli online. Una volta raccolte, queste informazioni finiscono spesso nel dark web, dove vengono vendute o condivise.

Ed è proprio qui che si sta creando un vero e proprio “mercato del crimine digitale”. Le credenziali rubate non restano inutilizzate: vengono organizzate, rivendute e sfruttate per accedere ai conti delle vittime o effettuare pagamenti fraudolenti. Secondo i dati, il 74% delle carte compromesse risulta ancora valido anche mesi dopo il furto, segno che molti utenti non si accorgono subito della violazione.

Parallelamente, cambia anche il modo in cui gli attaccanti cercano di ingannare le persone. Il phishing – cioè le truffe che imitano siti affidabili – resta molto diffuso, ma si sta spostando. Oggi sono soprattutto i falsi negozi online a dominare: quasi una trappola su due imita un e-commerce. Un esempio tipico? Un sito che sembra identico a quello di un brand famoso, con offerte molto convenienti, ma che in realtà serve solo a rubare i dati della carta.

Meno colpite rispetto al passato sono invece le banche, probabilmente perché hanno rafforzato le difese. Questo ha spinto i truffatori a scegliere obiettivi più facili e quotidiani, come lo shopping online.

Un altro cambiamento importante riguarda i dispositivi: diminuiscono gli attacchi ai computer, mentre aumentano quelli agli smartphone. Oggi sempre più persone gestiscono il proprio denaro tramite app bancarie, e i criminali stanno seguendo questa abitudine. Nel 2025 gli attacchi mobile sono cresciuti del 50% rispetto all’anno precedente.

Cosa si può fare per difendersi? Le regole di base restano fondamentali. Usare password diverse per ogni servizio, attivare l’autenticazione a più fattori (quel codice aggiuntivo che arriva via SMS o app), e soprattutto prestare attenzione ai link ricevuti via email o messaggi. Anche un piccolo dettaglio sospetto in una pagina Web può fare la differenza.

Leggi anche: “CV e offerte sul Dark Web“

*Illustrazione progettata da Securelist

Per capire la gravità, basta pensare a come viene usata oggi l’IA: c’è chi carica referti medici, chi analizza contratti o documenti aziendali, dando per scontato che tutto resti confinato nella piattaforma. La falla sfruttava un meccanismo poco noto ma fondamentale di Internet: il DNS, cioè il sistema che traduce i nomi dei siti (come “google.com”) nei rispettivi indirizzi numerici. Normalmente è innocuo, ma in questo caso è stato usato come “canale nascosto” per trasmettere dati, un po’ come inviare messaggi segreti dentro richieste apparentemente innocenti.

Screenshot che mostra un tentativo di connessione Internet in uscita bloccato dall’interno

L’aspetto più insidioso è che le protezioni esistenti non sono state violate direttamente, ma aggirate. ChatGPT, infatti, limita le connessioni verso l’esterno e richiede autorizzazioni esplicite per condividere dati. Tuttavia, poiché il traffico DNS non veniva considerato una vera “uscita di dati”, non scattavano né avvisi né richieste di consenso.

L’attacco poteva partire da un semplice prompt, cioè un’istruzione incollata nella chat. Un esempio concreto: un utente copia un comando trovato online per migliorare la produttività. In realtà, quel testo potrebbe contenere istruzioni nascoste che inducono il sistema a estrarre e inviare all’esterno informazioni rilevanti, come riassunti o dati chiave. Paradossalmente, questi contenuti elaborati dall’IA possono essere ancora più sensibili degli originali.

Il rischio aumenta con i GPT personalizzati, sempre più diffusi. In questo caso, il codice malevolo potrebbe essere già integrato nel sistema, senza bisogno che l’utente faccia nulla di sospetto. I ricercatori hanno dimostrato lo scenario con un finto assistente medico: mentre forniva consigli apparentemente normali, inviava a un server esterno i dati del paziente.

ChatGPT nega il trasferimento di dati verso l’esterno, mentre il server remoto riceve i dati estratti.

Oltre alla fuga di dati, la tecnica potrebbe essere usata anche per eseguire comandi da remoto, trasformando l’ambiente in una sorta di “porta nascosta” controllabile dall’esterno. Un rischio che non riguarda solo la privacy, ma l’intera sicurezza della piattaforma.

La vulnerabilità è stata corretta da OpenAI già a febbraio 2026 e non risultano attacchi attivi. Tuttavia, il caso evidenzia un punto chiave: gli strumenti di IA non possono essere considerati sicuri per definizione. Come già avvenuto per il cloud, anche qui è necessario adottare controlli aggiuntivi e un approccio a più livelli.

Leggi anche: “Scoperta vulnerabilità in ChatGPT“

Durante le nostre quotidiane ricerche, abbiamo scoperto un sito, o meglio un portale, che dichiara di essere un  motore di ricerca dedicato al recruiter, ma che – sinceramente – ci è sembrato tutt’altro. Può infatti essere adoperato per ben altri scopi… Ma procediamo per gradi. Il sito in questione è, a tutti gli effetti, uno strumento potentissimo che permette di entrare in contatto con persone in tutto il mondo, spesso superando barriere che fino a pochi anni fa sembravano invalicabili. Il portale, attraverso il suo motore interno, consente di scandagliare una base dati di  centinaia di milioni di profili, sfruttando criteri avanzati e una struttura che affonda le radici nella precisione algoritmica e nella capacità di lettura semantica. Stiamo parlando della possibilità offerta di ricercare i contatti diretti di milioni di persone, numero di telefono, personale compreso, semplicemente digitando un nome, un ruolo o anche una parola chiave. Il sistema restituisce risultati che includono indirizzi e-mail verificati, numeri di telefono, social collegati e la storia lavorativa della persona. E la cosa più sorprendente è che non si tratta solo di profili generici o sconosciuti: permette di rintracciare figure di alto profilo, VIP, amministratori delegati, giornalisti, dirigenti pubblici e persino politici, inclusi nomi italiani noti al grande pubblico.

L’home page si presenta priva di fronzoli e facile da utilizzare, come un classico motore di ricerca.

BASTA DAVVERO POCO

Non è necessario, dunque, avventurarsi nel Deep Web o nel Dark Web, né spendere cifre esorbitanti per acquistare  pacchetti illegali di dati. Tutto ciò che serve è un account, un minimo di intuito e la giusta combinazione di filtri. È sufficiente inserire il nome di una persona, o persino solo il nome dell’azienda per cui lavora, per accedere a un elenco di risultati che comprendono dati estremamente sensibili, raccolti attraverso fonti pubbliche, API  professionali, combinazioni di crawler e sistemi di verifica automatica. Nessuna violazione apparente, tutto avviene  nel rispetto formale delle policy e delle condizioni d’uso dei servizi consultati, ma il risultato è un’aggregazione spaventosa per dettaglio e precisione. La piattaforma incrocia queste informazioni con LinkedIn, GitHub e altre fonti  online per ricostruire profili completi, talvolta più completi di quanto gli stessi interessati possano immaginare. Nome, cognome, posizione attuale, precedenti impieghi, skills, progetti pubblici, persino e-mail personali e numeri di telefono: ogni frammento viene recuperato, interpretato e collocato nel punto esatto della mappa digitale che rappresenta l’identità professionale (e talvolta privata) di un individuo. Una volta trovata una persona, basta un clic del mouse per salvare il contatto nella propria dashboard. Da lì, è possibile annotare osservazioni, categorizzare il profilo secondo logiche di interesse, esportare i dati in fogli di calcolo o CRM, o persino avviare una campagna di e-mail dirette, sfruttando template o strategie personalizzate. Il tutto con una estrema semplicità.

Cercando il nome “Bill Gates”, la piattaforma restituisce dei profili completi di e-mail, numero di telefono e dettagli lavorativi, dimostrando l’estrema accessibilità di dati sensibili anche per figure di alto profilo.

ADDIO PRIVACY

Il sito è una finestra su una parte nascosta di Internet, che però non è affatto nascosta, anzi: è alla luce del sole,  elegante, ordinata e legalmente disponibile con un abbonamento. Certo, l’utilizzo di questo tipo di strumento solleva domande etiche. Per quanto si basi su dati pubblici o semi-pubblici e non promuova usi illeciti delle informazioni, la facilità con cui si possono ottenere numeri di cellulare, e-mail personali e dettagli sensibili di figure pubbliche o  private fa riflettere su quanto fragile sia ormai il confine tra “profilo professionale” e “sfera privata”. Anche un  parlamentare, un magistrato, un imprenditore, può trovarsi a ricevere una chiamata non desiderata, semplicemente perché il suo nome è stato inserito nella barra di ricerca giusta. Tutto questo si svolge all’interno di un’interfaccia  semplice, accessibile da browser e facilmente integrabile tramite estensioni per Chrome. È qui che il portale rivela la sua natura ambivalente: da un lato, un alleato insostituibile per chi lavora con la rete e ha bisogno di scalare il  processo di contatto umano; dall’altro, un osservatorio che espone quanto sia sottile la linea tra trasparenza e violazione. Eppure, per chi sa usarlo con consapevolezza, rispetto e competenza, può essere una risorsa eccezionale. È come un set di chiavi passepartout per entrare, virtualmente, negli uffici e nei telefoni dei decisori, dei candidati e degli influencer professionali che contano davvero. Un mondo in cui non conta più quanto sia riservato un profilo  LinkedIn, ma quanto bene qualcuno sappia interrogare un database come questo. E dove la differenza non la fa ciò che si è scelto di condividere, ma ciò che qualcun altro è riuscito a scoprire.

Il piano Free del sito consente di visualizzare 5 numeri e 5 indirizzi e-mail e di fare 5 esportazioni al giorno. Per gli altri abbonamenti è necessario spendere qualche decina di euro al mese.

TRA LEGALITÀ E SORVEGLIANZA

L’utilizzo di strumenti come questo sito, per quanto apparentemente innocuo e tecnicamente legale, solleva interrogativi sempre più urgenti in materia di privacy, diritti digitali e tutela dei dati personali. Il Regolamento  Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea stabilisce chiaramente che ogni trattamento di dati personali deve avvenire con il consenso esplicito dell’interessato, oppure deve essere giustificato da un legittimo interesse, purché non invada i diritti fondamentali della persona. Il portale afferma di raccogliere solo dati accessibili al pubblico, spesso già visibili su LinkedIn o GitHub, e quindi – in senso stretto – non violerebbe direttamente il GDPR. Tuttavia, l’uso massivo e automatizzato di queste informazioni per costruire banche dati accessibili a chiunque paghi l’abbonamento, avvicina pericolosamente il sistema a una zona grigia legale. Molti esperti di privacy sostengono che la raccolta passiva e silente di numeri di cellulare personali, anche se tecnicamente reperibili, non corrisponda al principio di minimizzazione dei dati sancito dal regolamento europeo. Il rischio è che la legittimità  tecnica mascheri una forma di sorveglianza soft, in cui nessuno viene spiato con malware o trojan, ma tutti possono essere profilati, contattati, influenzati, anche senza saperlo. E qui nasce la vera domanda provocatoria: abbiamo  davvero bisogno di hacker, quando basta un recruiter con un abbonamento premium? In un’epoca in cui la  reputazione digitale si difende a fatica e i confini della vita privata vengono costantemente erosi, strumenti come  questo mettono in mano a professionisti comuni un potere che fino a poco tempo fa era riservato ai servizi segreti, agli investigatori privati o alle aziende di intelligence commerciale. Il tutto con un’interfaccia semplice, un pulsante Esporta CSV e, a volte, un clic di troppo. Legalmente, siamo ancora dentro i margini. Eticamente, siamo già oltre.

È anche disponibile un’estensione per Google Chrome. Una volta che vi siete collegati su un social, tipo LinkedIn, si apre automaticamente e consente di ricercare i contatti del profilo visualizzato.

Leggi anche: “I bot diventano sofisticati”

*Illustrazione progettata da Freepik

Secondo le prime informazioni diffuse, alcuni dati sarebbero stati sottratti e le entità coinvolte sono state immediatamente informate. Non sono stati forniti molti dettagli tecnici, ma chi ha rivendicato l’attacco sostiene di aver esfiltrato oltre 350 GB di dati, inclusi database. Per capire la portata, si tratta di una quantità enorme: equivale a centinaia di migliaia di documenti digitali.

Quando si parla di “infrastruttura cloud”, si intende un sistema di server remoti accessibili via Internet, utilizzati per ospitare siti e servizi online. È una soluzione molto diffusa perché flessibile ed efficiente, ma proprio per questo rappresenta anche un bersaglio interessante per i cybercriminali: un solo punto di accesso può dare visibilità su grandi quantità di dati.

Dietro l’attacco potrebbe esserci il gruppo Shiny Hunters, noto nel panorama della criminalità informatica. Secondo gli esperti, fa parte di una galassia più ampia chiamata Scattered Lapsus$ Hunters, insieme ad altri gruppi come Scattered Spider e Lapsus$. Si tratta di realtà diverse dai classici gruppi ransomware: invece di limitarsi a bloccare i dati e chiedere un riscatto, puntano prima di tutto a entrare nei sistemi e sottrarre informazioni, per poi usarle come leva di pressione.

Uno degli aspetti più insidiosi riguarda le tecniche utilizzate. Questi gruppi sono particolarmente abili nel social engineering, cioè nell’ingannare le persone per ottenere accesso ai sistemi. Un esempio concreto è il vishing, una truffa telefonica in cui l’attaccante si finge un tecnico o un operatore affidabile per convincere la vittima a fornire credenziali o codici di accesso. In pratica, invece di “hackerare” un computer, si manipola direttamente la persona.

Questa strategia rende gli attacchi molto difficili da prevenire, perché non sfrutta solo vulnerabilità tecniche, ma anche fattori umani come fiducia e distrazione. Inoltre, il fatto che questi gruppi operino in modo fluido, con sottogruppi autonomi, complica ulteriormente le indagini e la difesa.

Questo è il commento di Jakub Souček, Head of eCrime Research Team di ESET:

“Shiny Hunters è uno dei tre ’sottogruppi’ (insieme a Scattered Spider e Lapsus$) che operano sotto il gruppo più ampio di Scattered Lapsus$ Hunters. Sia il collettivo che i gruppi che lo compongono si distinguono dalle tradizionali operazioni di ransomware. I loro componenti sono di lingua inglese, super esperti in social engineering e noti per tecniche aggressive di vishing e di furto d’identità che permettono loro di infiltrarsi nelle grandi aziende. Il loro obiettivo è prevalentemente l’intrusione e l’estorsione piuttosto che gestire un modello di ransomware as a service (RaaS).