Il piano della Spagna per frenare la crittografia suscita polemiche: uno sguardo approfondito ai problemi di sicurezza informatica globale

In un documento recentemente esposto, è stato svelato che i funzionari spagnoli stanno cercando di imporre restrizioni sulla crittografia end-to-end in tutta l'Unione Europea. Ciò è venuto alla luce nell'ambito di una più ampia indagine europea riguardante proposte per controllare i messaggi privati alla ricerca di materiale relativo ad abusi sessuali su minori. Nel bel mezzo di questi eventi, Meta è stata colpita da una multa senza precedenti di 1,3 miliardi di dollari ai sensi della legislazione GDPR a causa dei suoi trasferimenti di dati negli Stati Uniti.

In uno sviluppo significativo, un gruppo di investigatori afferma di aver scoperto per la prima volta l'uso di spyware avanzato all'interno di una regione colpita dalla guerra. Le loro prove suggeriscono l'uso di Pegasus, un prodotto del gruppo NSO, per compromettere il personale governativo armeno, i giornalisti e almeno un funzionario delle Nazioni Unite all'interno del territorio conteso del Nagorno-Karabakh.

Il 24 maggio, agenzie di intelligence americane e globali, nonché ricercatori di Microsoft, hanno rivelato che un gruppo di hacker sostenuto dal governo cinese aveva lanciato attacchi a reti di infrastrutture cruciali all'interno di diversi stati degli Stati Uniti e Guam. Questa attività è particolarmente preoccupante, date le indicazioni che il gruppo potrebbe prepararsi per attacchi più dirompenti oltre allo spionaggio. È stata inoltre evidenziata una breve storia del famigerato gruppo di hacking russo Turla, con un'eredità che dura da 25 anni e include ingegnosi sviluppi di worm informatici e attacchi satellitari.

bcrypt, una funzione di hashing delle password ampiamente utilizzata, ha celebrato il suo 25° anniversario, con i suoi creatori che hanno espresso orgoglio per il suo uso di lunga data e delusione per la stagnazione dei progressi nella sicurezza delle password nell'ultimo quarto di secolo. Nelle notizie correlate, i ricercatori avvertono della possibilità che vengano utilizzati attacchi indiretti di iniezione rapida per consentire truffe e furto di dati nei sistemi di intelligenza artificiale generativa. Anche l'introduzione da parte di Google di nuovi domini di primo livello come ".zip" e ".mov" ha creato scalpore a causa della loro associazione con tipi di file comuni, sollevando timori che potessero essere utilizzati per facilitare attacchi di phishing.

Una recente analisi ha rivelato che i laboratori cinesi hanno venduto ingredienti precursori del fentanil all'ingrosso su Internet, con il 90% di queste aziende che accettano pagamenti in criptovaluta. Nelle notizie sulle criptovalute, un audit di sicurezza interno dell'exchange di criptovalute hackerato Bitfinex ha rivelato come gli aggressori abbiano manipolato i punti deboli della piattaforma per rubare milioni di dollari di bitcoin.

Su una nota più positiva, i ricercatori della società di supply chain di software Chainguard hanno svelato un nuovo metodo per proteggere un segmento spesso trascurato dell'infrastruttura cloud, noto come "registri di container".

In altre storie, Netflix, il colosso dello streaming video, ha adottato misure per scoraggiare la condivisione di account al di fuori delle singole famiglie. La società è pronta a introdurre questa politica negli Stati Uniti, informando gli utenti che sembrano condividere i propri account fuori casa che tali utenti saranno bloccati.

Secondo i piani di Netflix, i clienti con un piano Standard possono aggiungere un utente esterno al proprio account per un canone mensile di $ 7,99, mentre quelli con un piano Premium possono aggiungere due membri aggiuntivi allo stesso prezzo ciascuno. Netflix offrirà uno strumento di trasferimento del profilo per consentire alle persone di stabilire i propri account se perdono l'accesso all'account condiviso.

Separatamente, è stato scoperto che i dipendenti di TikTok condividevano dati utente sensibili tramite Lark, una piattaforma interna di produttività e comunicazione. Migliaia di dipendenti di ByteDance, la società madre di TikTok, utilizzano quotidianamente Lark, sollevando preoccupazioni sul potenziale accesso alle informazioni personali degli utenti.

Infine, è stato riscontrato che un'app Android chiamata iRecorder Screen Recorder, che ha oltre 50.000 download su Google Play, mostrava comportamenti dannosi a seguito di un aggiornamento nell'agosto 2022. L'app ha utilizzato in modo improprio il suo accesso ai microfoni del dispositivo per registrare l'audio ogni 15 minuti. e trasmettere questi dati a un server dannoso. L'incidente ha attirato l'attenzione di vari gruppi per i diritti digitali, la privacy e le libertà civili, che ora stanno sostenendo che Slack, la piattaforma di comunicazione sul posto di lavoro, implementi la crittografia end-to-end come misura di protezione per le comunità mirate.