Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Banner Ancharia Desktop 1 1
TM RedHotCyber 320x100 042514

Tag: bug bounty

La Russia legalizza gli hacker white hat con una nuova legge in arrivo

Redazione RHC 23/10/2025

La Russia sta preparando una nuova versione di un disegno di legge che legalizza gli hacker “white hat”. Due fonti di agenzie governative e del settore della sicurezza informatica hanno riferito a RBC che il documento ha già superato la fase di approvazione principale ed è in preparazione per la presentazione alla Duma di Stato. L’iniziativa prevede la creazione di un sistema unificato di regolamentazione governativa per tutti i tipi di attività di ricerca relative al rilevamento delle vulnerabilità. Il progetto coinvolgerà gli specialisti ingaggiati dalle aziende per testare i loro sistemi informativi, sia direttamente che tramite piattaforme di bug bounty, dove

100 ricercatori di bug, 32 milioni di dollari! HackerOne: I bug sulle AI stanno aumentando!

Redazione RHC 03/10/2025

La piattaforma di ricompensa per le vulnerabilità HackerOne ha riferito che gli hacker white hat di tutto il mondo hanno ricevuto 81 milioni di dollari di risarcimenti negli ultimi 12 mesi. Secondo l’azienda, si tratta di un aumento del 13% rispetto all’anno precedente. Oggi, HackerOne gestisce oltre 1.950 programmi di bug bounty e fornisce servizi di divulgazione delle vulnerabilità, penetration test e auditing della sicurezza del codice. Tra i suoi clienti figurano Anthropic, Crypto.com, General Motors, GitHub, Goldman Sachs, Uber e agenzie governative, tra cui il Dipartimento della Difesa degli Stati Uniti. In media, i programmi attivi pagano ai ricercatori circa 42.000

Apple lancia il programma Security Research Device 2026 per ricercatori di sicurezza

Redazione RHC 08/09/2025

Apple ha annunciato che accetterà le candidature per il Security Research Device Program (SRDP) 2026. I ricercatori di bug (bug hunter) interessati a ricevere un iPhone configurato specificamente per la ricerca sulla sicurezza hanno tempo fino al 31 ottobre 2025 per presentare domanda. Dal 2020, Apple fornisce ai ricercatori speciali iPhone “jailbreakabili”. Nell’ambito del programma SRDP, i ricercatori ricevono un dispositivo che consente loro di analizzare la sicurezza di iOS senza dover bypassare le funzionalità di sicurezza attive su un normale telefono. I partecipanti al programma ricevono l’accesso shell per eseguire qualsiasi strumento, nonché l’accesso anticipato a software e prodotti di sicurezza,

20 milioni di dollari per exploit zero-day dal broker Advanced Security Solutions

Redazione RHC 22/08/2025

Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque di hackerare uno smartphone tramite SMS. Si tratta di una delle cifre più alte per qualsiasi broker 0day, almeno tra quelli che lo divulgano pubblicamente. Advanced Security Solutions. Un nuovo attore nella scena dei broker 0day Oltre a 20 milioni di dollari per gli exploit di qualsiasi sistema operativo mobile, l’azienda offre anche grandi ricompense per le vulnerabilità zero-day in altri software: Non è chiaro chi ci sia dietro l’azienda e chi

Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza

Redazione RHC 01/08/2025

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l’azienda ha rilasciato a Red Hot Cyber una dichiarazione ufficiale. Il comunicato risponde alle recenti preoccupazioni sollevate dalla stampa sui bug di sicurezza rilevati nei suoi prodotti. Dan Liu, CEO di Lovense, ha voluto rassicurare clienti e partner sull’impegno costante per la tutela della privacy e della sicurezza degli utenti attraverso un comunicato stampa che condividiamo con i nostri lettori. Le vulnerabilità individuate Un ricercatore di sicurezza, tramite una piattaforma di bug bounty cui Lovense partecipa dal

Il chatbot di McDonald’s ha portato a 64 milioni di record esposti per una vulnerabilità IDOR con “123456”

Redazione RHC 12/07/2025

I noti esperti di sicurezza informatica e cacciatori di bug Sam Curry e Ian Carroll hanno scoperto che il chatbot Olivia, utilizzato da McDonald’s per assumere dipendenti, rivelava i dati dei candidati. In totale, il database conteneva oltre 64 milioni di record. I ricercatori hanno iniziato a interessarsi a quanto stava accadendo dopo aver letto numerose lamentele da parte degli utenti di Reddit riguardo alle risposte “inadeguate” di Olivia. Olivia è un’applicazione di Paradox.ai, un’azienda che sviluppa software di intelligenza artificiale. Il bot viene utilizzato da McDonald’s per selezionare i candidati, richiedere le loro informazioni di contatto e i loro curriculum e

Storico al Pwn2Own: hackerato anche l’hypervisor VMware ESXi. 150.000 dollari ai ricercatori

Redazione RHC 18/05/2025

Al torneo di hacking Pwn2Own di Berlino si è verificato un evento storico: esperti di sicurezza d’élite sono riusciti per la prima volta ad hackerare con successo l’hypervisor VMware ESXi sfruttando una vulnerabilità zero-day precedentemente sconosciuta. Si è trattato del proseguimento dell’emozionante giornata di apertura della competizione, quando tre exploit zero-day erano mirati a Windows 11. E il secondo giorno non ha deluso le aspettative: le sorprese sono continuate. Le ultime settimane hanno già rappresentato una vera prova per la sicurezza aziendale. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha chiesto una protezione urgente contro una grave vulnerabilità di

Controllo Del Volante da remoto per la Nissan Leaf con pezzi comprati su eBay. E non è tutto!

Redazione RHC 14/05/2025

Un gruppo di white hat hacker europei della PCAutomotive con sede a Budapest ha dimostrato come hackerare da remoto un veicolo elettrico Nissan LEAF del 2020. Sono riusciti non solo a prendere il controllo del volante durante la guida, ma anche a tracciare l’auto in tempo reale, leggere messaggi di testo, registrare conversazioni in auto e trasmettere suoni attraverso gli altoparlanti. Tutto questo viene fatto con l’ausilio di un simulatore fatto in casa, assemblato con pezzi acquistati su eBay. La ricerca è stata presentata alla conferenza Black Hat Asia 2025 come una presentazione tecnica di 118 pagine. Descrive in dettaglio il processo di creazione di un

Asus sotto accusa! Dei bug critici in DriverHub consentono RCE con un solo clic!

Redazione RHC 13/05/2025

Asus ha rilasciato delle patch che risolvono due vulnerabilità in Asus DriverHub. Se sfruttati con successo, questi problemi potrebbero consentire l’esecuzione remota di codice arbitrario. DriverHub è uno strumento che funziona in background e interagisce con il sito web driverhub.asus.com. È progettato per informare gli utenti sui driver che devono essere installati o aggiornati. Lo strumento utilizza il protocollo RPC e ospita un servizio locale con cui il sito può interagire tramite richieste API. Un ricercatore indipendente neozelandese, noto con il soprannome MrBruh, ha scoperto due vulnerabilità in DriverHub che possono essere utilizzate per eseguire codice arbitrario da remoto. CVE-2025-3462 (punteggio CVSS 8,4) è una vulnerabilità

UK: Hacker Etici a Rischio Carcere per Segnalare Vulnerabilità al Governo!

Redazione RHC 06/03/2025

I ricercatori sulla sicurezza informatica nel Regno Unito che segnalano volontariamente vulnerabilità nei sistemi del Ministero dell’Interno potrebbero essere perseguiti penalmente. Il MoD ha seguito l’esempio del Ministero della Difesa lanciando una piattaforma di divulgazione delle vulnerabilità su HackerOne, ma a differenza di altri programmi bug bounty, non sono previste ricompense in denaro per i bug scoperti. Secondo i requisiti pubblicati, ai è ricercatori proibito interferire con il funzionamento dei sistemi, modificare o accedere ai dati. Tuttavia, quando si ricercano vulnerabilità, è necessario rispettare la legislazione vigente, il che mette a repentaglio la possibilità stessa di una ricerca legittima sulle minacce informatiche. Il fatto

Categorie