攻击流程（Blast-RADIUS 研究团队） 研究团队表示，虽然MD5哈希碰撞在2004年已首次被证实，但当时仍有人对在RADIUS协议中加以利用表示质疑。
缓解措施
由于这种攻击不会危及最终用户的凭证，因此最终用户无法采取任何防范措施。

不过，BlastRADIUS是一个基本设计缺陷的结果，据说会影响所有符合标准的RADIUS客户端和服务器，...

近日，一个名为 noyb 的非营利性欧洲隐私权倡导组织对 Xandr 提起诉讼。Xandr 被指控透明度不高，侵犯了欧盟人民的数据访问权。 Xandr 是科技巨头微软的子公司，如果监管机构认定其有侵犯隐私权的行为，微软或将面临巨额罚款。 据悉，  Xandr被投诉的原因是 noyb 认为其违反了《通用数据保护条例》（GDPR），因为Xandr 的信息被处理后还创建了用于微目标广告的档案，并且这些广告会通过程序化广告拍卖出售。...

美国某知名银行 Evolve Bank & Trust 在遭遇 LockBit 勒索软件攻击后，其客户数据被盗，该行目前正在给 760 万受影响的人发送数据泄露通知。 今年 6 月，LockBit 发布虚假声明，声称其入侵了美国联邦储备局。经证实，泄露的数据实际属于 Evolve Bank & Trust，该行正在展开调查以确定数据泄露的范围和程度。 调查显示，由于公司员工点击了恶意链接，导致 Lockbit 成员在未经授权的情况下访问了Evolve的数据库和文件共享，黑客随后下载了这些文件。...

黑客论坛上出售 Neiman Marcus 数据的截图 黑客最初声称该公司拒绝支付勒索要求，但随后删除了论坛帖子和数据样本，这一举动暗示公司可能已经与黑客展开了谈判。

Snowflake、Mandiant 和 CrowdStrike 的联合调查显示，一个被追踪为 UNC5537 的经济动机黑客利用窃取的客户凭据，...

据俄罗斯新闻媒体报道，应俄罗斯国家通信监管机构 Roskomnadzor 的要求，苹果公司于 2024 年 7 月 4 日从其 App Store 中移除了俄罗斯的一些虚拟专用网络 (VPN) 应用程序。 据MediaZona报道，这包括 25 家 VPN 服务提供商的移动应用程序，包括 ProtonVPN、Red Shield VPN、NordVPN 和 Le VPN 。值得注意的是，NordVPN此前已于 2019 年 3 月关闭了其所有俄罗斯服务器。...

根据俄罗斯安全供应商卡巴斯基的最新报告，一种新的高级持续性威胁组织(APT) 被发现针对俄罗斯政府实体进行网络间谍活动。 卡巴斯基表示，这个被称为CloudSorcerer的APT组织使用 Dropbox、Microsoft Graph 和 Yandex Cloud 窃取数据，同时依赖公共云服务作为命令和控制 (C&C) 基础设施。 根据该公司的文档，APT 会在受感染的机器上手动执行 CloudSorcerer 恶意软件。根据其运行的进程，恶意软件可以充当后门、启动 C&C 通信模块或尝试将 shellcode 注入 explorer.exe、msiexec.exe 或 mspaint.exe。...

Linux 系统上广泛使用的 Ghostscript 文档转换工具包中存在一个远程代码执行漏洞，目前正在遭受攻击。 Ghostscript 预装在许多 Linux 发行版上，并被各种文档转换软件使用，包括 ImageMagick、LibreOffice、GIMP、Inkscape、Scribus 和 CUPS 打印系统。 此格式字符串漏洞的编号为CVE-2024-29510，影响所有 Ghostscript 10.03.0 及更早版本。它使攻击者能够逃离 -dSAFER 沙盒（默认启用），因为未修补的 Ghostscript 版本无法在激活沙盒后阻止对 uniprint 设备参数字符串的更改。...

苹果的 Wi-Fi 定位系统 (WPS) 可用于绘制和跟踪全球的 Wi-Fi 接入点 (AP)。但在Black Hat 2024 的一次演讲中，马里兰大学研究员 Erik Rye 将演示如何在几天内绘制数亿个 AP，甚至不需要苹果设备或任何类型的权限。 苹果如何暴露全球 AP
您是否曾经想过，您的手机如何知道它在世界上的位置？ 当然，全球定位系统 (GPS) 是它使用的工具之一，但它并不完美。当设备与天空失去清晰的联系时，它的效率就会降低，而且它会消耗大量电量，这对于如此持久的任务来说并不理想。...

在黑客论坛上泄露的近17万泰勒斯威夫特巡演门票数据 来源：bleepingcomputer 根据威胁情报服务HackManac上发布的帖子，Sp1d3rHunters泄露的16.6万张泰勒·斯威夫特Eras巡演门票条码数据用于多个演唱会日期的入场，包括即将在迈阿密、新奥尔良和印第安纳波利斯举行的演唱会。帖子中还包含了一小部分所谓的条码数据样本， Sp1d3rHunters要求Ticketmaster支付200万美元赎金，否则将泄露更多用户和门票数据。...

《纽约时报》于 2024 年 7 月 4 日报道称，OpenAI 在 2023 年初遭受了未公开的入侵。 《纽约时报》指出，攻击者并未访问 AI 所在的系统，但窃取了员工论坛的讨论内容。OpenAI 并未公开披露该事件，也未通知 FBI，因为它声称，客户和合作伙伴的信息均未遭窃取，此次入侵事件并未被视为对国家安全的威胁。该公司认定，此次攻击是由一名与任何外国政府均无任何已知关联的人员所为。...