AI e furto di dati

[Mick]

argomento "fuori tema" ma ritengo sia abbastanza importante

https://en.8bitsecurity.com/posts/echoleak-the-first-zero-click-exploit-for-ai-copilot-has-arrived/


specie per chi usa le varie AI senza cognizione di causa

[SalvoRb]

Questo è solo un granello di sabbia nel deserto, tra bug, malware e tutto il resto spesso voluto c'è un mondo sommerso e quello che ogni tanto viene a galla è solo una infinitamente piccola percentuale ma dopotutto internet si basa sulla diffusione e condivisioni di informazioni quindi quando ci parlano di tutelare la privacy fa già ridere di suo.

Faccio un esempio tra gli infiniti, ogni volta che faccio un acquisto online, puntualmente nei giorni successivi vengo tempestato di telefonate che arrivano dalle zone più disparate del mondo ma anche d'Italia e provate a chiedervi il perché.

[Mobile1980]

73.

Faccio un esempio tra gli infiniti, ogni volta che faccio un acquisto online, puntualmente nei giorni successivi vengo tempestato di telefonate che arrivano dalle zone più disparate del mondo ma anche d'Italia

Questa cosa succede anche a me puntuale come un orologio. Proprio bella la privacy che ci propinano, vendono i nostri dati ai call center e agli spammer, bella porcata.

[Mick]

il problema è marginale a livello personale, ma molto grave nel caso di grandi reti aziendali (o bancarie)

[Mobile1980]

Beh, se oltre ai dati personali ci rubano anche i soldi allora mi viene qualche sospetto che il sistema internet abbia qualche problemino che non ci vogliono dire.

[Mick]

Beh, se oltre ai dati personali ci rubano anche i soldi allora mi viene qualche sospetto che il sistema internet abbia qualche problemino che non ci vogliono dire.

qualche problemino ?
benvenuto nella realtà.

e poi "non ci vogliono dire" CHI ?

il complottismo lascialo ai poveretti  a cui piace il vittimismo

[Mobile1980]

qualche problemino ? benvenuto nella realtà.

Naturalmente l'ho detto in modo sarcastico per non dire problemone enorme.

e poi "non ci vogliono dire" CHI ?

Le banche.

il complottismo lascialo ai poveretti  a cui piace il vittimismo

Giusto, quando ci sono di mezzo i soldi non ci sono complotti ma solo gente onesta delle finanze/banche che dice solo la verità.

[SalvoRb]

Giusto, quando ci sono di mezzo i soldi non ci sono complotti ma solo gente onesta delle finanze/banche che dice solo la verità

Vero, sono onesti come preti ..senza offesa per i preti.

Comunque il tema era "AI e furto di dati" non furto soldi.

[Mick]

Giusto, quando ci sono di mezzo i soldi non ci sono complotti ma solo gente onesta delle finanze/banche che dice solo la verità

Vero, sono onesti come preti ..senza offesa per i preti.

Comunque il tema era "AI e furto di dati" non furto soldi.

se si tratta di dati "aziendali" dati e soldi sono sinonimi (lo spionaggio industriale non è nato ieri)

[SalvoRb]

Che il furti di dati personali li facciano prevalentemente per averne un ritorno economico è scontato ma tralasciando i dati aziendali, una cosa è tempestarti di telefonate dai call center e un altra svuotarti il conto in banca come anche farne un uso ricattatorio personale o altro.

Ecco un breve elenco di esempio come potrebbero venire usati i dati personali rubati online...

Danni alla reputazione
Impersonificazione online
Furto di identità
Frodi finanziarie
Accesso non autorizzato agli account
Phishing mirato
Ricatto e minacce
Vendita dei dati sul dark web
Problemi legali e fiscali


...e chi più ne ha più ne metta, insomma se non si sta attenti forse è meno pericoloso passeggiare di sera nei quartieri malfamati.

[Mobile1980]

C'è davvero da stare allegri.

[Mick]

si sta mischiando l'argomento reale e le sue implicazioni con le solite chiacchiere da comari, miti metropolitani, luoghi comuni, complottismo e chi più ne ha...

ok, va bene che il post era fuori argomento (ma nella giusta sezione del forum), ma ho ben capito che non ha senso continuare, vista la palese incomprensione dell'argomento e delle implicite problematiche.

[SalvoRb]

Ok allora nessun rischio in rete, sistema perfetto. 73

[Mick]

una sola nota finale:

Copilot è integrato in Windows 11 ed in VisualStudio

il che significa che molte entità statali sono potenzialmente a rischio di "esfiltrazione" dati, il tutto SENZA limitazioni di accesso

se poi qualcuno volesse continuare a giocare con le AI

https://huggingface.co/

[Bartolomeo]

https://en.8bitsecurity.com/posts/echoleak-the-first-zero-click-exploit-for-ai-copilot-has-arrived/

Il bug EchoLeak è stata risolta da Microsoft applicando una patch lato server a maggio 2025.

Nulla di nuovo, specie quando c'è di mezzo Microsoft, e contare tutte le falle servirebbe un calendario dedicato ogni anno hi.

[Mick]

https://en.8bitsecurity.com/posts/echoleak-the-first-zero-click-exploit-for-ai-copilot-has-arrived/

Il bug EchoLeak è stata risolta da Microsoft applicando una patch lato server a maggio 2025.

Nulla di nuovo, specie quando c'è di mezzo Microsoft, e contare tutte le falle servirebbe un calendario dedicato ogni anno hi.

quella patch è un workaround che non risolve il problema, rende solo più complicato sfruttare il bug

[Bartolomeo]

Non so se tu hai fonti più certe ma io ho letto quanto segue...

Microsoft's patch is not a simple workaround that only makes it more difficult to exploit the bug: it is a definitive solution implemented on the server side, which radically closes the various phases of the EchoLeak exploit (CVE-2025-32711)

Poi non so, cercando informazioni si trova spesso il contrario di tutto.

[Mick]

Non so se tu hai fonti più certe ma io ho letto quanto segue...

Microsoft's patch is not a simple workaround that only makes it more difficult to exploit the bug: it is a definitive solution implemented on the server side, which radically closes the various phases of the EchoLeak exploit (CVE-2025-32711)

Poi non so, cercando informazioni si trova spesso il contrario di tutto.

a quale AI hai chiesto ?

[Bartolomeo]

Nessuna AI, l'ho ripreso da un forum credo canadese. Adesso però ho chiesto a fonti Microsoft e attendo una risposta.

[Mick]

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32711

al solito ... e poi, GIUGNO 2025.

tra l'altro è strano che il tuo "forum canadese" non citi il "kb" della fantomatica patch

https://feedly.com/cve/CVE-2025-32711

[Bartolomeo]

Ecco cosa mi ha risposto Microsoft. Ogni dubbio è stato risolto.


Riguardo alla vulnerabilità EchoLeak (CVE-2025-32711) che lei ha segnalato, comprendiamo pienamente la sua preoccupazione. Desideriamo confermarle quanto segue:

La vulnerabilità è stata completamente corretta da Microsoft. Le misure adottate non sono semplici workaround temporanei, bensì correzioni strutturali e miglioramenti della sicurezza.

Nel mese di giugno 2025, Microsoft ha implementato aggiornamenti lato server che includono:

- Rafforzamento del filtro per i collegamenti in formato Markdown;

- Correzione dei problemi di reindirizzamento aperto nei domini considerati attendibili;

- Miglioramento dell'accuratezza del classificatore XPIA;

- Limitazione dell'accesso ai contenuti sensibili da parte del modulo AI RAG (Retrieval-Augmented Generation).

"Nessun cliente è stato compromesso e la vulnerabilità è stata completamente mitigata."

Pertanto, può continuare a utilizzare Microsoft 365 Copilot con tranquillità. Non è necessaria alcuna azione da parte sua, poiché il sistema ha già applicato automaticamente gli aggiornamenti di sicurezza più recenti.

[Mick]

che lei ha segnalato ?

ma... hai scritto all'helpdesk di primo livello ?



ed anche se fosse TUTTE le correzioni hanno una "KB ID" ed è MOLTO strano che non ti abbiano riferito a quella



ok. lasciamo stare.

[Bartolomeo]

ma... hai scritto all'helpdesk di primo livello ?

L'helpdesk non c'entra nulla, chi ha risposto alla domanda è una persona che ha le competenze per farlo.

Questo è quanto ha detto Microsoft, non puoi contestare le loro parole, tu non lavori alla Microsoft, non posso mica credere a te e non a loro.

[Mick]

ma... hai scritto all'helpdesk di primo livello ?

L'helpdesk non c'entra nulla, chi ha risposto alla domanda è una persona che ha le competenze per farlo.

Questo è quanto ha detto Microsoft, non puoi contestare le loro parole, tu non lavori alla Microsoft, non posso mica credere a te e non a loro.

e cosa prova che quanto hai scritto corrisponda a realtà e non sia, invece, totalmente campato in aria ?

comunque, tralasciando il resto, hai raggiunto il tuo risultato, discussione TOTALMENTE fuori argomento, valenza ZERO, complimenti, questa volta ci sei riuscito.

[Bartolomeo]

e cosa prova che quanto hai scritto corrisponda a realtà e non sia, invece, totalmente campato in aria ?

Adesso pur di darmi torto mi dai anche del bugiardo! Ma grazie.

TOTALMENTE fuori argomento, valenza ZERO

Non serve sviare, il mio intervento è perfettamente in linea con la discussione che era la falla EchoLeak e ho precisato che tale falla è stata sistemata ma tu hai affermato che è solo un rattoppo poiché, secondo te, si tratta di una semplice workaround, inutile però continuare anche perché la questione EchoLeak è ormai un problema risolto che fa parte del passato.

[Mick]

e cosa prova che quanto hai scritto corrisponda a realtà e non sia, invece, totalmente campato in aria ?

Adesso pur di darmi torto mi dai anche del bugiardo! Ma grazie.

TOTALMENTE fuori argomento, valenza ZERO

Non serve sviare, il mio intervento è perfettamente in linea con la discussione che era la falla Echo8Leak e ho precisato che tale falla è stata sistemata ma tu hai affermato che è solo un rattoppo poiché, secondo te, si tratta di una semplice workaround, inutile però continuare anche perché la questione EchoLeak è ormai un problema risolto che fa parte del passato.

non ti ho dato del bugiardo, rileggi con molta attenzione prima di muovere accuse.

Per il resto, se sei veramente convinto che una patch lato server risolva i problemi, tanti auguri ed "il passato" che citi è la seconda metà dello scorso Giugno, controlla la data odierna e le date dei messaggi precedenti.

il resto è palese e visibile a tutti senza che io debba aggiungere altro.

[Bartolomeo]

non ti ho dato del bugiardo, rileggi con molta attenzione prima di muovere accuse.

Eppure metti in discussione quanto ho affermato. Rileggiti tu quanto hai scritto in precedenza....

e cosa prova che quanto hai scritto corrisponda a realtà e non sia, invece, totalmente campato in aria ?

"il passato" che citi è la seconda metà dello scorso Giugno, controlla la data odierna e le date dei messaggi precedenti.

Non è una questione di date ma di una problematica che Microsoft ha "recentemente" risolto quindi ormai passata.

Per il resto, se sei veramente convinto che una patch lato server risolva i problemi, tanti auguri

Non si tratta di una semplice patch, rileggiti quello che dice Microsoft e che ho riportato in precedenza, è la parola di Microsoft contro la tua fattene una ragione.

[Mick]

ma un riferimento UNO, che provi la veridicità di quanto affermi, lo hai o pretendi ti si creda sulla parola ?

Non per altro, ma sino ad ora hai solo prodotto affermazioni senza alcun riferimento, vedasi il "forum canadese"; hai un link al post che hai citato ? Così magari si verifica il tutto.

Non è sfiducia, ma sai di "sedicenti esperti" ne ho (purtroppo) incontrati parecchi e certi atteggiamenti tendo a riconoscerli.

[Bartolomeo]

Ecco il link dove ho posto la domanda e in questo caso a rispondere è stato un cosiddetto Agente Microsoft cioè un esperto ufficialmente incaricato da Microsoft solo che il link non te lo volevo dire perché ora tu dirai di sicuro che chi ha risposto è per te un'incompetente.

https://answers.microsoft.com/it-it/microsoftedge/forum/msedge_other-msedge_win10/il-bug-echoleak-risolto-veramente-oppure-no/3f35e838-93df-4334-9843-69382962a031

[Mick]

Ecco il link dove ho posto la domanda e in questo caso a rispondere è stato un cosiddetto Agente Microsoft cioè un esperto ufficialmente incaricato da Microsoft solo che il link non te lo volevo dire perché ora tu dirai di sicuro che chi ha risposto è per te un'incompetente.

https://answers.microsoft.com/it-it/microsoftedge/forum/msedge_other-msedge_win10/il-bug-echoleak-risolto-veramente-oppure-no/3f35e838-93df-4334-9843-69382962a031

uh il forum di supporto MS, non vedo perché chiamarlo "forum canadese" e comunque le risposte che ricevi NON sono risposte ufficiali da MS (è anche scritto nella documentazione di quei forum)



in pratica ti ha risposto Copilot, non te ne eri reso conto ?

[Bartolomeo]

uh il forum di supporto MS, non vedo perché chiamarlo "forum canadese

Il forum canadese non c'entra nulla, quella era una informazione che avevo trovato inizialmente in un sito che non centra niente con https://answers.microsoft.com.

e comunque le risposte che ricevi NON sono risposte ufficiali da MS (è anche scritto nella documentazione di quei forum) in pratica ti ha risposto Copilot, non te ne eri reso conto

Come volevasi dimostrare, una scusa ce la devi avere per forza.

Copilot non c'entra una beta mazza, a rispondere sono persone incaricate da Microsoft e di automatico c'è solo la traduzione linguistica visto che chi risponde non parla italiano.

A rispondere sono ad esempio queste categorie che leggi a seguire e nel mio caso ha risposto una Agente Microsoft e a cui ho dato anche un feedback positivo per la sua risposta, feedback che per loro sono molto importanti perché troppi feedback negativi possono compromettere il loro rapporto di lavoro. Ma tanto per "mister ho sempre una scusa" non sono lavoratori stipendiati e magari anche sfruttati ma solo un computer che risponde quello che vuole.


Agenti Microsoft: personale autorizzato da Microsoft a rispondere (spesso identificati da un badge) .

Moderatori (staff Microsoft): dipendenti Microsoft che hanno privilegi speciali per moderare, evidenziare risposte o gestire abusi

Consulenti indipendenti: professionisti esterni, verificati, che rispondono su specifiche categorie tecniche

Dipendenti Microsoft: rispondono occasionalmente, riconoscibili tramite badge "Microsoft" .

MVP (Most Valuable Professionals): esperti riconosciuti da Microsoft per il loro contributo alla community

[Mick]

hai letto le informazioni ma hai tralasciato le note, copilot è ormai da un pezzo parte del supporto di primo livello 3d è facile capirlo legendo la risposta

e la storia del forum canadese che poi non è quello è veramente poco credibile, a questo punto ritengo seriamente che tu stia parlando di srgomenti che non conosci, ora segnala pure questo post, anche se l'admin decidesse di bloccare la discussione (perché poi ?) o di espellermi le cose non cambierebbero affatto.

[Bartolomeo]

hai letto le informazioni ma hai tralasciato le note, copilot è ormai da un pezzo parte del supporto di primo livello 3d è facile capirlo legendo la risposta

Continui imperterrito con arrampicate sugli specchi ma anche se fosse, copilot oppure no, che differenza farebbe, la risposta sarebbe la stessa e che non è quello che piacerebbe a te ma tu continui a rimurginare.

e la storia del forum canadese! che poi non è quello è veramente poco credibile

Ma cosa centra il forum canadese che poi ho pure scritto "credo canadese" e che comunque riportava semplicemente la stessa cosa che poi ha detto il supporto Microsoft. Continui a divagare e a darmi del bugiardo mi pare.

Microsoft's patch is not a simple workaround that only makes it more difficult to exploit the bug: it is a definitive solution implemented on the server side, which radically closes the various phases of the EchoLeak exploit (CVE-2025-32711)

ritengo seriamente che tu stia parlando di srgomenti che non conosci

Io no so nulla, Microsoft non sa nulla di loro stessi tu invece sai tutto vero? bravo, caspita.