Clicca qui, è gratis - n. 045
La newsletter settimanale con le notizie più importanti sulla sicurezza informatica (e un piccolo meme per alleggerire)
Ciao a tutti e benvenuti in questa nuova edizione della newsletter!
Ecco i temi di cui parleremo oggi:
Le Cattive Notizie 💀
Scivolone di LinkedIn, campagna di phishing basata sulla guerra, Eurail e Interrail sotto attacco
Le Buone Notizie 😌
Class action contro Perplexity, Anthropic lancia Mythos per la sicurezza informatica, l’FBI smantella una botnet
Il meme della settimana 🤪
Per sopravvivere al resto della newsletter.
Iniziamo! 🚀
💀 Le Cattive Notizie
1. LinkedIn scansiona in segreto migliaia di estensioni del browser
A quanto pare, ogni volta che un utente visita LinkedIn con Chrome o un browser basato su Chromium, uno script nascosto si attiva e cerca di individuare quali estensioni sono installate.
Il numero di estensioni scansionate è salito da poche centinaia nel 2024 a oltre 6.200 nei primi mesi del 2026, circa 12 nuove al giorno. La tecnica è nota e documentata: lo script tenta di caricare file interni associati all’identificativo di ogni singola estensione, poi se il caricamento va a buon fine conferma che l’estensione è presente. Oltre a questo, raccoglie 48 caratteristiche del dispositivo, dal numero di core della CPU alla risoluzione dello schermo, alla capacità della batteria e al fuso orario. Prese singolarmente sono informazioni non particolarmente sensibili, ma combinate formano un’impronta digitale del dispositivo sufficientemente precisa da identificare un utente anche dopo la cancellazione dei cookie.
Il problema più rilevante è che LinkedIn non è un sito qualunque, dato che gli account sono associati a identità verificate, con nomi reali, ruoli professionali, datori di lavoro. Sapere che il dipendente di una certa azienda usa un determinato strumento di ricerca lavoro, o un’estensione legata alla salute mentale, o un software concorrente di quello offerto da LinkedIn, non è un’informazione neutra.
L’indagine, pubblicata dall’associazione europea Fairlinked con la denominazione “BrowserGate”, ha già generato due cause collettive in California e un procedimento legale in Germania. LinkedIn ha risposto sostenendo che il sistema serve a individuare le estensioni che fanno scraping non autorizzato dei dati degli utenti, una difesa che però non spiega perché lo scanning includa anche estensioni per la grammatica, la spiritualità o la dichiarazione dei redditi 😅
Clicca qui per leggere la notizia completa
2. Finti allarmi missilistici usati come esca per rubare credenziali Microsoft
Il conflitto tra Iran, Israele e Stati Uniti ha prodotto, oltre alle conseguenze geopolitiche note, anche un effetto collaterale prevedibile: i criminali informatici lo stanno usando come esca.
I ricercatori del Cofense Phishing Defense Center hanno individuato una campagna di phishing che si presenta come un comunicato ufficiale del Ministero dell’Interno e della Protezione Civile, con un allarme missilistico contrassegnato come “SEVERE / ACTIVE” e istruzioni per mettersi immediatamente al riparo. Il messaggio non contiene link tradizionali ma un codice QR, una scelta che ha uno scopo preciso: molti filtri di sicurezza delle email analizzano i link testuali ma non sempre interpretano il contenuto dei codici QR.
Scansionando il codice, l’utente viene portato prima a una finta pagina di verifica (con il classico riquadro “Non sono un robot”) e poi a una replica della schermata di accesso Microsoft, dove le credenziali vengono catturate. L’email usa un dominio con suffisso australiano, che non ha alcun legame con alcun ministero reale, ma chi riceve un allarme di quel tipo è comprensibilmente poco incline a verificare l’indirizzo del mittente.
È il meccanismo base dell’ingegneria sociale applicato all’attualità: sfruttare il panico per inibire il pensiero critico. Campagne simili sono emerse anche in passato, durante il conflitto in Ucraina e nelle prime fasi della pandemia. La variabile è il tema, la struttura resta la stessa, ma la cosa più emblematica è il fatto che continui a funzionare, cosa che indica che la consapevolezza su questi meccanismi è ancora molto lontana dall’essere sufficiente.
Clicca qui per leggere la notizia completa
3. Rubati passaporti, IBAN e dati sanitari di oltre 300.000 viaggiatori europei: il caso Eurail
Eurail B.V., la società olandese che gestisce i pass ferroviari Eurail e Interrail per conto di un consorzio di oltre 35 compagnie ferroviarie europee, ha notificato alle autorità di regolamentazione statunitensi una violazione dei dati che coinvolge 308.777 persone.
L’attacco è avvenuto in realtà il 26 dicembre 2025, ma la conferma del tipo di dati sottratti è arrivata solo il 25 febbraio 2026, e le lettere di notifica alle persone coinvolte sono partite il 27 marzo. I tre mesi di distanza tra la scoperta e l’avviso non sono un’anomalia nel settore ma restano difficili da giustificare quando i dati in questione includono nomi, numeri di passaporto, date di nascita, indirizzi postali ed email. Per i partecipanti al programma DiscoverEU (il progetto dell’Unione Europea che offre pass ferroviari gratuiti ai diciottenni), la situazione è ancora peggiore: tra i dati esposti ci sono anche IBAN bancari, fotocopie di documenti di identità e informazioni sanitarie.
A febbraio un criminale informatico ha rivendicato il furto su un forum, dichiarando di aver sottratto 1,3 terabyte di dati dagli ambienti cloud dell’azienda (AWS S3, Zendesk, GitLab) e di aver tentato una trattativa andata a vuoto. Campioni dei dati rubati sono comparsi su Telegram e il dataset completo è stato messo in vendita nel dark web. Eurail ha precisato di non conservare dati di carte di pagamento, il che limita in parte il danno, ma un passaporto accompagnato da IBAN e indirizzo è sufficiente per avviare una campagna di furti di identità ben strutturata. Per chi ha utilizzato un Interrail o un Eurail pass nell’ultimo periodo il consiglio è cambiare le password associate all’app Rail Planner e monitorare con attenzione il proprio conto corrente.
Clicca qui per leggere la notizia completa
😌 Le Buone Notizie
1. Causa collettiva contro Perplexity: la modalità “Incognito” non proteggeva nulla
Un utente anonimo ha avviato una causa contro Perplexity, Google e Meta con un’accusa piuttosto grave: la modalità “Incognito” del motore di ricerca basato su intelligenza artificiale non faceva quello che prometteva.
Secondo il ricorso da 140 pagine depositato il 31 marzo 2026 presso il tribunale federale della California, Perplexity ha integrato nel proprio codice dei tracker pubblicitari di Meta (il Pixel e la Conversions API) e di Google (Google Ads e DoubleClick) che trasmettevano le conversazioni degli utenti, compresi i testi completi delle richieste fatte all’assistente AI, insieme a email, indirizzi IP e informazioni sul dispositivo. Il tutto avveniva anche quando l’utente aveva attivato la funzione Incognito, che Perplexity descriveva come capace di creare “thread anonimi” destinati a cancellarsi entro 24 ore.
La causa sostiene che questa promessa era sostanzialmente vuota, perché il tracciamento avveniva lato server e nessuna impostazione del browser poteva bloccarlo. L’utente che ha avviato il procedimento racconta di aver usato Perplexity per chiedere consulenza su questioni fiscali, investimenti e pianificazione previdenziale.
La questione è significativa al di là del caso specifico, perché tocca un tema che riguarda tutti gli strumenti di intelligenza artificiale conversazionale: quando un utente pone domande personali a un chatbot, si aspetta ragionevolmente che la conversazione resti tra sé e il servizio, a maggior ragione con la modalità in incognito. Scoprire che quelle domande finivano anche alle piattaforme pubblicitarie di Meta e Google (per finalità di profilazione) mina un presupposto di fiducia che per questi strumenti non è accessorio. I danni potenziali stimati superano i 5.000 dollari per violazione, e le conversazioni coinvolte sono nell’ordine dei milioni. Motivo per cui l’utente ha chiesto di poter rappresentare tutta la categoria degli utenti del servizio; sarà il tribunale a stabilire se certificarla come class action (permettendo anche ad altri di unirsi) oppure no.
Clicca qui per leggere la notizia completa
2. Anthropic mette il suo modello AI più potente al servizio della difesa informatica
Anthropic ha presentato Project Glasswing, un’iniziativa che mette a disposizione di una quarantina di aziende (tra cui Apple, Microsoft, Google, CrowdStrike, Nvidia e la Linux Foundation) un modello di intelligenza artificiale chiamato Claude Mythos Preview, specificamente orientato alla ricerca difensiva di vulnerabilità nel software.
I risultati dei test sono notevoli, visto che Mythos ha individuato migliaia di falle sconosciute in tutti i principali sistemi operativi e browser, inclusa una nel kernel Linux che permetteva il controllo completo di un server e una in OpenBSD che era rimasta nascosta per 27 anni. Anthropic ha investito 100 milioni di dollari in crediti per i partner e 4 milioni in donazioni a organizzazioni per la sicurezza open source.
La notizia ha un lato meno rassicurante, che l’azienda stessa non nasconde. Mythos è talmente capace di trovare e sfruttare vulnerabilità che Anthropic ha deciso di non renderlo disponibile al pubblico, almeno finché non verranno sviluppate protezioni adeguate. Durante i test, il modello è riuscito a uscire dal suo ambiente controllato e a costruire autonomamente un percorso di attacco per raggiungere internet, un comportamento che non gli era stato chiesto.
La notizia, comunque, ha fatto crollare temporaneamente i titoli in borsa di diverse aziende del settore cybersecurity. Il presidente della Federal Reserve e il segretario al Tesoro hanno convocato i CEO delle principali banche americane per discuterne. Alcuni esperti, tra cui l’esperta di sicurezza dei sistemi critici Heidy Khlaaf, hanno sollevato dubbi sulla reale portata delle capacità descritte, osservando che senza poter testare il modello in modo indipendente è impossibile separare i risultati genuini dalla strategia di comunicazione. È un punto ragionevole, che non toglie nulla alla sostanza della questione: modelli di questo tipo, da Anthropic o da altri, stanno arrivando, e la difesa deve attrezzarsi prima.
Clicca qui per leggere la notizia completa
3. L’FBI smantella una rete di router domestici usati dalla Russia per spiare governi e aziende
Il Dipartimento di Giustizia degli Stati Uniti e l’FBI hanno annunciato di aver neutralizzato una rete di router domestici e da piccolo ufficio che l’intelligence militare russa (il GRU, attraverso il gruppo noto come APT28 o Fancy Bear) aveva compromesso per condurre operazioni di spionaggio su scala globale. L’operazione era attiva almeno dall’agosto 2025 e aveva coinvolto oltre 5.000 dispositivi in più di 200 organizzazioni.
La tecnica era relativamente semplice ma efficace: gli attaccanti sfruttavano vulnerabilità note in router TP-Link e MikroTik per modificarne le impostazioni DNS, reindirizzando tutto il traffico internet dei dispositivi collegati (computer portatili, telefoni) verso server controllati dal GRU. In questo modo potevano osservare passivamente le richieste di navigazione e, in alcuni casi, intercettare credenziali e token di autenticazione attraverso attacchi di tipo “man in the middle”, presentando alle vittime versioni false di pagine di accesso a servizi come Outlook. Al picco dell’attività, nel dicembre 2025, oltre 18.000 indirizzi IP da almeno 120 paesi risultavano in comunicazione con l’infrastruttura degli attaccanti. I settori più colpiti includevano agenzie governative, ministeri degli esteri e fornitori di servizi di posta elettronica. L’operazione di smantellamento ha coinvolto, oltre alle autorità americane, agenzie di sicurezza di 15 paesi (tra cui Italia, Germania, Estonia, Finlandia, Polonia e Romania). Il centro nazionale di cybersicurezza britannico ha pubblicato un advisory separato con una lista estesa di indicatori di compromissione.
Quello che deve fare chiunque abbia un router a casa o in ufficio è aggiornare il firmware, cambiare le credenziali predefinite e verificare che la gestione remota sia disabilitata.
Clicca qui per leggere la notizia completa
🤪 Il meme della settimana
Vedete che non tutti i mali vengono per nuocere?
La newsletter di oggi si chiude qui! Se sei un iscritto free, ci rileggiamo la prossima settimana. Se sei un iscritto premium, ci vediamo venerdì, con temi scottanti, guide step-by-step e laboratori pratici per smanettare un po’ 😎
A presto ✨
V.
LinkedIn, Meta e Google che bel trio ma (purtroppo) non sono gli unici.
L'immagine di oggi è fantastica e potrebbe essere un'idea. :-P