Ahir Ursula von der Leyen va presentar a Brussel·les l’app europea de verificació d’edat amb pompa institucional: “els estàndards de privacitat més alts del món”, “no més excuses” per a les plataformes, i una comparació amb el Green Pass de la COVID

Ahir Ursula von der Leyen va presentar a Brussel·les l’app europea de verificació d’edat amb pompa institucional: “els estàndards de privacitat més alts del món”, “no més excuses” per a les plataformes, i una comparació amb el Green Pass de la COVID.
En menys de 24 hores, investigadors de seguretat han publicat diverses vulnerabilitats. Cap és menor. La majoria són errors de disseny greus que no haurien passat cap auditoria seriosa per a una app mòbil d’aquest nivell, si aquesta s’hagués dut a terme.

Bypass del PIN en menys de 2 minuts:

L’app xifra el PIN, però el xifratge no està lligat criptogràficament al vault q conté les dades d’identitat. Esborrant uns valors del fitxer i reiniciant l’app, pots definir PIN nou mantenint l’accés a les credencials creades amb l’anterior.

Rate limiting de fireta:

El comptador d’intents fallits està guardat com un simple valor editable. El poses a zero i el sistema oblida quants cops s’han produït logins fallits, deixant via lliure als atacs de força bruta.

Biometria controlada amb booleà:

L’autenticació biomètrica es regula amb un sol flag true/false al fitxer de configuració. Canviar-lo la desactiva. Diversos informes apunten que allò lògic hagués estat fer servir el Secure Enclave (xip dedicat i aïllat que incorporen els mòbils).

Fonts:
- https://cybernews.com/security/eu-age-verification-app-hack

- https://discuss.privacyguides.net/t/new-eu-age-verification-has-been-hacked-in-under-2-minutes/37185

La grandesa del codi obert és aquesta, surt von der Leyen a presentar un sistema de verificació d’edat privacy friendly de codi obert, i en poques hores ja hi ha investigadors que reporten errors en el disseny, que posen en risc la privacitat.

Llarga vida al codi obert.

Un clúster Elasticsearch mal configurat del proveïdor de correu electrònic francès Alinto (propietari de Cleanmail.eu) va exposar 40 milions de registres SMTP. Les dades no incloïen el contingut dels correus, però sí les metadades completes.
https://cybernews.com/security/alinto-email-data-leak-exposes-traffic/

Reps trucades i quan agafes pengen? Això passa quan les empreses que es dediquen al spam telefònic fan llistes de telèfons que estan "vius", per vendre-les. O cerquen persones que els tornin la trucada ja que el número al que estàs trucant és de pagament.
En qualsevol cas:

No tornis mai aquestes trucads, i bloqueja els números tant bon punt hagi acabat la trucada, doncs si ho deixes per més endavant te'n pots oblidar.

Humans entrenant les IA que han de guiar robots en tasques com classificar paquets, cosir o plegar roba. Humans entrenant les màquines que els substituiran. La idea en si està bé, alliberar les persones de treball físic dur. El problema és que aquests humans que entrenen les IA, no veuran cap dels beneficis d'aquesta substitució. Aquest és el quid de la qüestió.

Una aplicació anomenada Duc App deixava exposades centenars de milers de fotos de carnets de conduir i passaports que els usuaris havien pujat com a verificació d’identitat. Les dades estaven en un bucket d’Amazon S3 obert a internet, sense cap contrasenya ni protecció.

this week in security — april 5 2026 edition

North Korea breaches Axios project, ICE now using spyware, Iran targeting U.S. tech firms, DarkSword fixes for iOS 18 holdouts, a bunch of data breaches, and more.

~this week in security~ (this.weekinsecurity.com)

Hi va haver una època en què als nens se’ls regalaven aquestes xocolatines en forma de cigarrets en dies assenyalats.
Un dia el fet que els nens accedeixin a xarxes socials es veurà així mateix de desfasat.

Dario Amodei, CEO d'Anthropic: «Estem tan a prop de que aquests models arribin al nivell d'intel·ligència humana, i tot i així no sembla que hi hagi un reconeixement més ampli a la societat del que està a punt de passar... No hi ha hagut una consciència pública dels riscos.»

️Fa uns dies el Parlament Europeu va votar a favor de posar fi al projecte d'escaneig massiu i indiscriminat de les comunicacions privades conegut com a #ChatControl. Avui el Partit Popular Europeu intenta forçar una nova votació PER DEMÀ amb la idea de mantenir viu #ChatControl.

Project N.O.M.A.D. (Node for Offline Media, Archives, and Data).
És un ordinador de supervivència autònom i sense connexió, ple d’eines crítiques, coneixement i IA per mantenir-te informat i preparat en qualsevol moment i lloc.
La idea principal és que funciona sense internet.

GitHub - Crosstalk-Solutions/project-nomad: Project N.O.M.A.D, is a self-contained, offline survival computer packed with critical tools, knowledge, and AI to keep you informed and empowered—anytime, anywhere.

Project N.O.M.A.D, is a self-contained, offline survival computer packed with critical tools, knowledge, and AI to keep you informed and empowered—anytime, anywhere. - Crosstalk-Solutions/project-nomad

GitHub (github.com)

El matí de l’11 de març de 2026, empleats d’oficines de Stryker a tot el món van encendre els seus ordinadors i els van trobar esborrats. Les pantalles d’inici de sessió havien estat substituïdes pel logotip de Handala: un nen descalç amb una fona.
Qui és Stryker? Una empresa Fortune 500 amb 56.000 empleats, 25.000 milions de dòlars de facturació anual i presència en més de 60 països, fabricant de dispositius mèdics i quirúrgics dels quals depenen hospitals de tot el món.
Com van entrar? Els atacants van obtenir accés a la consola d’administració de Microsoft Intune de Stryker i van emetre ordres legítimes d’esborrat remot, la mateixa funcionalitat que els administradors d’IT utilitzen quan es perd un dispositiu corporatiu.
L’accés inicial es creu que s’havia establert mesos abans de la fase destructiva, amb accés a la xarxa que datava de mesos enrere. El logotip de Handala que va aparèixer a les pantalles confirmava que els atacants tenien el control molt abans de decidir usar-lo. Era un atac planificat i pacient.
L’impacte humà va ser devastador: Molts empleats tenien els seus telèfons personals inscrits al programa BYOD (Bring-Your-Own-Device) de Stryker, per la qual cosa aquests també van ser gestionats pels sistemes IT de l’empresa. Aquells telèfons van ser restablerts de fàbrica, esborrant no només les aplicacions corporatives sinó tot: fotos, eSIMs, i les aplicacions d’autenticació que els empleats feien servir per a la banca personal.
Handala va reivindicar l’atac afirmant que les oficines de Stryker a 79 països s’havien vist forçades a tancar, que s’havien esborrat dades de més de 200.000 sistemes, servidors i dispositius mòbils, i que s’havien exfiltrat 50 terabytes de dades crítiques.
El grup va afirmar que l’atac era en represàlia per un atac amb míssils del 28 de febrer que va colpejar una escola iraniana i va matar almenys 175 persones, la majoria nens. El grup va anomenar Stryker una “corporació d’arrels sionistes”, en referència a l’adquisició el 2019 de l’empresa israeliana OrthoSpace.
El Departament de Justícia nord-americà va anunciar la confiscació del lloc web de Handala, juntament amb una còpia de seguretat i dos altres llocs que presumien de campanyes cibernètiques iranianes, qualificant-les d’“operacions psicològiques” del MOIS iranià.
Handala va reaparèixer amb un nou domini hores després de la confiscació, demostrant la resiliència operativa dels grups patrocinats per estats nació davant les accions legals

https://krebsonsecurity.com/2026/03/iran-backed-hackers-claim-wiper-attack-on-medtech-firm-stryker/

https://www.secureworld.io/industry-news/iran-linked-hacktivist-group-weaponizes-microsoft-intune-in-destructive-wiper-attack-on-stryker

https://techcrunch.com/2026/03/19/cisa-urges-companies-to-secure-microsoft-intune-systems-after-hackers-mass-wipe-stryker-devices/

Aparteu les criatures, i a la gent gran, la gent amb mobilitat reduïda… bé… aparteu-vos.

Un treballador de Meta va publicar una pregunta en un fòrum intern. Un altre enginyer va demanar a un agent d'IA que l'ajudés a analitzar la pregunta, però l'agent va publicar la resposta directament al fòrum sense demanar permís. A més, el consell que va donar era incorrecte.
El treballador que havia fet la pregunta va seguir les instruccions de l'agent, i això va fer que grans quantitats de dades de l'empresa i dels usuaris quedessin accessibles a enginyers que no tenien autorització per veure-les, durant dues hores.
Meta va classificar l'incident de severitat 1, el segon nivell de gravetat més alt del seu sistema intern.
La velocitat de desplegament de tecnologíes IA va molt per davant dels sistemes de control i governança, exemple 747590098545.
https://www.findarticles.com/meta-confronts-rogue-ai-agents-after-data-exposure/

Meta tanca el Metavers dos anys després que es tanqués el CatVers, la Generalitat i els seus visionaris sempre a l'avantguarda.