Il pacchetto npm ufficiale della CLI di Bitwarden è stato compromesso in un attacco alla supply chain. La versione incriminata - @bitwarden/cli@2026.4.0 - ha distribuito codice malevolo per circa un'ora e mezza nella serata del 22 aprile 2026
@bitwarden/cli@2026.4.0
Booking.com ha subìto una violazione dei propri sistemi che ha esposto dati di prenotazione e informazioni personali di un numero imprecisato di clienti. La piattaforma ha confermato l'accaduto e avviato il ripristino forzato dei PIN di prenotazione. Non è noto quanti utenti siano stati coinvolti o come sia avvenuto l'accesso non autorizzato. Quello che sappiamo, però, basta a far suonare più di un campanello d'allarme.
Il Garante per la protezione dei dati personali ha inflitto a Poste Italiane e alla controllata Postepay sanzioni per un totale superiore a 12,5 milioni di euro. La decisione, annunciata il 20 aprile 2026, chiude un'indagine avviata due anni fa sulla base di numerose segnalazioni e reclami degli utenti. Al centro della vicenda c'è il trattamento dei dati raccolti dalle app Android di BancoPosta e Postepay - applicazioni che milioni di italiani aprono ogni giorno per controllare il saldo o disporre un bonifico.
Un'app di verifica dell'età promossa dall'Unione Europea come soluzione ad «altissimi standard di privacy» si è rivelata un colabrodo. Bastano meno di due minuti per aggirarne le protezioni. La Commissione Europea, che solo pochi giorni fa la presentava come «tecnicamente pronta», ha dovuto fare marcia indietro ammettendo che si tratta ancora di una demo. La vicenda tocca da vicino chiunque usi Internet in Europa - e soprattutto chi tiene alla propria privacy.
Il 13 aprile scorso, mentre buona parte del mondo si godeva un tranquillo inizio di settimana, le forze dell'ordine di 21 paesi stavano smontando pezzo per pezzo l'ecosistema dei servizi DDoS a pagamento. L'operazione, battezzata Operation PowerOFF, ha portato al sequestro di 53 domini, a 4 arresti, all'esecuzione di 25 mandati di perquisizione. Il dato più significativo, però, riguarda un'altra categoria: le autorità hanno identificato oltre 75.000 utenti sospettati di aver acquistato attacchi DDoS su commissione. Non gli operatori delle piattaforme. I clienti. Europol ha annunciato i risultati dell'operazione in questi giorni
Parliamo di Recall, la funzionalità di Windows 11 per i PC Copilot+ che cattura screenshot di ogni attività dell'utente e li archivia in un database locale consultabile. Dopo il disastroso debutto del 2024 - dati completamente in chiaro, accessibili a chiunque - Microsoft aveva riprogettato il sistema con crittografia e autenticazione biometrica. Problema risolto, dunque? Non proprio. Un nuovo strumento chiamato TotalRecall Reloaded dimostra che esiste ancora una porta laterale per estrarre l'intero archivio di screenshot, testo OCR e metadati. Senza privilegi di amministratore, senza exploit del kernel, senza forzare alcuna cifratura.
Giovedì 16 aprile, MZLA Technologies - la stessa sussidiaria di Mozilla Foundation che sviluppa il client Thunderbird - ha annunciato Thunderbolt, un client AI open source pensato per essere ospitato sulla propria infrastruttura. L'obiettivo è chiaro: offrire un'alternativa concreta a Microsoft Copilot, ChatGPT Enterprise e Claude Enterprise. Con una differenza fondamentale: i dati restano dove decide l'utente.
Il Task Manager di Windows è una di quelle utility che tutti usano e nessuno ama davvero. Mostra cosa sta succedendo adesso, in questo preciso istante, ma se volete sapere cosa è accaduto tre ore fa - quale processo ha fatto schizzare la temperatura della CPU, quale applicazione ha divorato banda in background mentre dormivate - vi trovate davanti a un muro. AppControl, un'alternativa al Task Manager lanciata a febbraio 2026, ci lavorava già da un po'. Con l'aggiornamento annunciato il 14 aprile, però, la soluzione fa un salto di qualità: il programma integra ora un server MCP che permette di interrogare lo storico diagnostico del proprio PC in linguaggio naturale, usando un modello di intelligenza artificiale a scelta dell'utente.
Un gruppo criminale sta cercando di estorcere denaro a Kraken, uno dei principali exchange di criptovalute, minacciando di diffondere video dei sistemi interni che mostrano dati dei clienti. L'annuncio è arrivato lunedì 13 aprile tramite un post su X di Nick Percoco, responsabile della sicurezza dell'azienda, che ha confermato: Kraken non pagherà e non negozierà. L'incidente segue uno schema ormai familiare: non un attacco sofisticato dall'esterno, ma il reclutamento di personale interno con accesso ai sistemi di supporto. Lo stesso copione, con varianti minime, ha già colpito Coinbase l'anno scorso. Per le piattaforme crypto s tratta di una minaccia insidiosa: non arriva da hacker che bucano firewall, ma da chi ha già il badge per entrare.
Chiunque abbia navigato sul web negli ultimi anni conosce la frustrazione: si clicca il pulsante "indietro" del browser e, invece di tornare alla pagina precedente, ci si ritrova su una schermata inattesa, piena di pubblicità o raccomandazioni non richieste. Google ha deciso di penalizzare questo comportamento: il team Search Quality ha annunciato che il back button hijacking - la pratica con cui un sito manipola la cronologia del browser per impedire all'utente di tornare indietro - è ora formalmente classificato come comportamento spam malevolo, e i siti che lo adottano rischiano penalizzazioni nei risultati di ricerca.
Spegnere e riaccendere il router. Un consiglio che sembra provenire dall'operatore del call center prima ancora di capire il problema. Eppure stavolta a darlo è la National Security Agency (NSA) degli Stati Uniti, affiancata dall'FBI e da una serie di partner internazionali. L'avviso è legato a un'operazione giudiziaria concreta contro una rete di router domestici compromessi dall'intelligence militare russa. Il messaggio della NSA è sintetizzato in uno slogan che non lascia margini: «Don't be a victim!».
Il governo francese ha deciso di voltare pagina. Non si tratta dell'ennesimo progetto pilota destinato a languire in qualche cassetto ministeriale, né di una dichiarazione d'intenti senza scadenze: la DINUM - la Direzione Interministeriale del Digitale, che supervisiona la strategia informatica di tutti i ministeri - ha annunciato formalmente la migrazione dalle postazioni di lavoro da Windows a Linux nell'intera pubblica amministrazione. Un'operazione che, per portata e ambizione, non ha precedenti recenti in Europa. E racconta qualcosa di più profondo di una semplice scelta tecnica.
Per anni il furto di cookie di sessione è stata una tecnica particolarmente efficace per rubare gli account degli utenti. Il motivo è semplice e brutale: un cookie di sessione già autenticato scavalca qualsiasi protezione a più fattori, perché rappresenta una sessione già validata. L'attaccante non ha bisogno di password né di codici temporanei. Ha bisogno solo di quel piccolo file di testo. Con Chrome 146, Google prova a chiudere questa scappatoia introducendo Device Bound Session Credentials (DBSC), un meccanismo che lega crittograficamente le credenziali di sessione al dispositivo fisico dell'utente. Un cookie rubato e trasferito su un'altra macchina diventa, in teoria, completamente inutilizzabile
Per oltre quindici anni, il numero di telefono è stato l'identificativo obbligatorio nell'universo WhatsApp. Vuoi scrivere a qualcuno? Serve il numero. Vuoi essere trovato? Devi condividerlo. Un modello semplice, certo, ma anche una rilevante limitazione in termini di privacy: il numero di telefono è un identificativo personale potente, legato all'identità anagrafica, sfruttabile per spam, social engineering e tracciamento. Ebbene: qualcosa, finalmente, si muove. WhatsApp ha avviato il rilascio graduale del supporto agli username, che permetteranno di comunicare senza rivelare il proprio numero di telefono. La funzione è disponibile per un numero ancora molto limitato di utenti, ma il segnale è inequivocabile.
Cinquanta bitcoin. Poco più di cinquanta, per la precisione: 50,903 BTC, equivalenti a circa 3,665 milioni di dollari. Tanto è bastato a un attaccante sconosciuto per mettere a nudo la fragilità strutturale di uno dei più grandi operatori di ATM Bitcoin al mondo. Bitcoin Depot, società quotata al NASDAQ con il ticker BTM e responsabile di oltre 25.000 sportelli automatici e punti BDCheckout, ha reso pubblica la violazione. L'incidente risale al 23 marzo scorso: l'azienda ha impiegato più di due settimane per comunicarlo formalmente al mercato.
Un attore malevolo che si fa chiamare «Mr. Raccoon» sostiene di aver sottratto ad Adobe oltre 13 milioni di ticket di assistenza clienti, dati su 15.000 dipendenti, documenti interni e - dettaglio potenzialmente esplosivo - l'intero archivio delle segnalazioni di vulnerabilità inviate tramite la piattaforma HackerOne. Il punto di ingresso non sarebbe stato un attacco diretto all'infrastruttura di Adobe, ma la compromissione di un'azienda indiana alla quale era stata affidata la gestione del supporto clienti. Adobe, al momento, non ha rilasciato alcun commento ufficiale.
Dopo anni passati a costruire un ecosistema di servizi cifrati - dalla posta elettronica al cloud storage, dalla VPN al gestore di password - Proton aggiunge il tassello che mancava. L'azienda svizzera ha lanciato Proton Meet, un servizio di videoconferenza con crittografia end-to-end che punta dritto al cuore del mercato dominato da Zoom, Microsoft Teams e Google Meet. Il tempismo non è casuale: la fiducia verso le grandi piattaforme di comunicazione aziendale continua a erodersi, tra politiche di gestione dei dati opache e il crescente utilizzo delle conversazioni degli utenti per addestrare modelli di intelligenza artificiale.
GrapheneOS ha tracciato una linea netta. Il sistema operativo basato su Android, sviluppato da un'organizzazione non-profit e orientato alla sicurezza e alla privacy, ha dichiarato pubblicamente che non si conformerà alle leggi emergenti sulla verifica dell'età a livello di sistema operativo. Il messaggio è diretto: piuttosto che raccogliere dati anagrafici degli utenti, il progetto è disposto a rinunciare alla vendita dei propri dispositivi nei mercati che lo richiedono.
Compravendita, gestione delle finanze e altre attività lavorative avvengono online. Con l'uso di Internet, la società è fortemente cambiata nel modo di apprendere, di lavorare, di comunicare e di intrattenersi. Le piattaforme digitali nel loro insieme stanno ridisegnando l'esperienza quotidiana degli individui.
Hai un vecchio pc con Windows XP e superiori ma non puoi passare a Linux ne aggiornare Windows ed hai bisogno di un browser aggiornato? Questo tutorial fa per te!
Un'installazione fresca di Windows sembra pulita e leggera, ma dietro l'interfaccia lucida rimangono servizi, suggerimenti e tracciamenti che consumano risorse e curiosano un po' troppo. Prima di installare giochi, suite lavoro e creatività, conviene ripulire il sistema di ciò che non serve davvero.
Mantenere la privacy online nel 2025 richiede più che evitare link sospetti o usare la modalità di navigazione in incognito. Con le tecnologie di tracciamento che diventano più aggressive e la raccolta di dati integrata in molte piattaforme, gli strumenti che usiamo ora devono fare di più. Dai browser che bloccano i tracker per impostazione predefinita alle reti che mascherano la tua posizione, i nuovi strumenti per la privacy stanno rendendo più facile rimanere anonimi durante la navigazione quotidiana
Zen è un'applicazione gratuita, multipiattaforma e open source che filtra il traffico di rete per bloccare pubblicità, trackers e siti malevoli. Facilmente scaricabile dal suo sito, Zen funziona da proxy, ossia da intermediario fra il PC e internet, filtrando il traffico di rete al livello di sistema, in modo che risultino in entrata solo le connessioni consentite. Non è quindi rilevante se il traffico di rete sia originato da un determinato browser (come accade inevitabilmente con le estensioni e gli add-ons) oppure da un'applicazione non deputata alla navigazione: tutto il traffico di rete, anche di più browser contemporaneamente, passa per il proxy di Zen e viene accuratamente filtrato.
I sistemi CAPTCHA sono diventati una parte standard dell'utilizzo di Internet. Che si tratti di accedere a un account, effettuare un pagamento da un sito di e-commerce o reimpostare una password, agli utenti viene spesso chiesto di identificare semafori, selezionare tutte le immagini con biciclette o semplicemente fare clic su una casella di controllo per dimostrare di essere umani. Questi sistemi, originariamente progettati per bloccare bot e spam, sono diventati più complessi. I CAPTCHA di oggi fanno più che fare da guardiani. Possono tracciare silenziosamente il comportamento degli utenti, raccogliere dati e condividerli con terze parti
Oggi, 28 gennaio, si celebra la giornata internazionale della protezione dei dati personali, altresì nota come Data Protection Day o Data Privacy Day
![[Update: ClickFix ai gestori degli hotel] Booking.com è stato hackerato: esposti nomi, email e dettagli delle prenotazioni (aggiornato: 21 aprile 2026, ore 07:57)](https://turbolab.it/immagini/med/6/booking-com-27341.avif)
