7.73 亿邮箱信息泄露;IntelliJ IDEA 18 周岁

(给技术最前线加星标,每天看技术热点)

转自:开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、7.73 亿 email 信息泄露,你的密码可能在里边

安全研究员 Troy Hunt 披露,上周他被告知一个流行的黑客论坛正在讨论 MEGA 上的一个公开数据集,其容量超过 87GB,包含了 7.73 亿电子邮件地址和 2122 万个唯一密码。论坛上公开的一个图像显示数据集的根文件夹名字叫 Collection #1,因此这一次的数据泄露被称为 Collection #1。

Hunt 称,他检查了这个数据集,发现自己的电邮地址和旧密码都在里面,而且是正确的,幸运的是密码已经不再使用。

用户可以访问他的 Have I Been Pwned 服务,看看自己的信息是否遭到泄露:

https://haveibeenpwned.com/

该数据集已经被删除,但根据论坛的讨论数据已经广泛流传。

          

640?wx_fmt=png

1、IntelliJ IDEA 18 周岁

17 日,IntelliJ IDEA 发推特庆祝其 18 周岁生日。

640?wx_fmt=png

IntelliJ IDEA 是 JetBrains 旗下的一个 Java IDE,它整合了开发过程中实用的众多功能,几乎可以不用鼠标方便地完成任何开发工作。其在各种 IDE 排行榜上均有不错的成绩,国内拥趸颇多。

640?wx_fmt=png

2、Java 11 究竟比 8 快了多少?看看这个基准测试

开源规划调度引擎 OptaPlanner 官网发布了一个 Java 11 GC 性能基准测试报告。

640?wx_fmt=jpeg

当前使用量最大的 Java 版本是 8,所以测试者用 Java 8 与 Java 11 进行对比测试。GC 是影响 Java 性能的关键因素,所以测试自然也基于 GC,在 G1 GC 和并行 GC 下分别进行了测试,结果如下:

使用 G1 GC

640?wx_fmt=png

G1 GC 下每秒分值:

640?wx_fmt=png

Java 11 在几乎所有测试数据集上都有速度上的提升。平均而言,仅通过切换到 Java 11 就有 16% 的改进,这种改进可能是因为 Java 10 中引入了 JEP 307: Parallel Full GC for G1。

使用并行 GC

640?wx_fmt=png

并行 GC 下每秒分值:

640?wx_fmt=png

使用并行 GC,结果不如 G1,某些数据集上有所改进,但其它数据集保持不变甚至出现性能下降。平均而言,Java 11 的性能提升了 4% 以上。

测试者还在 Java 11 上对并行 GC 与 G1 GC 进行对比:

Java 11 上并行 GC vs. G1 GC

640?wx_fmt=png

结果表明 G1 GC 整体上不如并行 GC。

OptaPlanner 表示,从 Java 8 到 Java 11,G1 GC 的平均速度改进为 16.1%,并行 GC 为 4.5%。此外虽然并行 GC 面向吞吐量,而 G1 则侧重于低延迟 GC,但是 Java 11 中带来的 G1 显著改进,使得将两者进行直接比较是有意义的。此外,基于基准测试中的大多数数据集来看,并行 GC 还是更适合 OptaPlanner 的,因为吞吐量对于解决 OptaPlanner 的优化问题更为重要。

【业界资讯】

0、超 140 城居民可在支付宝领电子社保卡:可在线查询社保

36氪讯,全国已有18个省、超过140个城市在支付宝上线了电子社保卡。

用户在支付宝里点击“城市服务”、选择所在城市及电子社保卡,或直接搜索“城市名+电子社保卡”,“刷脸”认证后即可申领。电子社保卡由全国社保卡服务平台统一签发和管理,与实体社保卡一一对应,唯一映射,状态相通。签发后,居民可以随时在线查询社保信息,未来还可扫码购药、就医结算。

1、Amadeus 订票系统惊曝高危漏洞:影响全球近半数航企

外媒报道称,被全球近半数国际航空公司所使用的 Amadeus 机票预订系统,近日被曝存在一个严重的安全漏洞,使得黑客能够轻松查看和更改旅客信息。比如将其他常旅客的里程兑换到黑客指定的个人账户,或更改联系人信息、将客户机票退订。据悉,该漏洞由 Noam Rotem 与安全侦探研究实验室发现,影响全球 141 家国际航空公司(占比 44%)。

Noam Rotem 解释称:漏洞与乘客姓名记录(PNR)系统有关,PNR 用于给航班上的每位乘客指定唯一标识符。

通过刷新机票预订网页的特定元素(RULE_SOURCE_1_ID),Rotem 能够查看他被 Amadeus 纪录任何客户的 PNR 名称和航班详情。

拿到 PNR 和姓名之后,攻击者能够登陆任何受影响的航空公司门户网站,并可能造成严重的破坏。

虽然不会造成安全或财务数据上的威胁,但该漏洞依然能够轻易毁掉许多人的出行安排。此外,黑客可以窃取常旅客的航空里程、冒充用户取消航班,变更座位、甚至用餐计划。

综上所述,问题的关键,在于 PNR 代码上。遗憾的是,航空公司及其客户并没有受到完全的保护。

航司会将这些信息通过非加密的形式传输,因此特别容易受到中间人攻击。此外,许多无心的旅客,有在社交网络上主动曝光自己登机牌的坏习惯。

640?wx_fmt=gif

(Rotem 脚本示例)

更糟糕的是,Rotem 发现 Amadeus 缺乏应对暴力穷举攻击的有效措施。他编写了一个简单的脚本,能够生成随机的 PNR 代码,并成功访问了许多客户的账户。

Rotem 及时将该问题反馈给了以色列航空公司 EL AL,后者又转告了 Amadeus 安全团队。万幸的是,他们后来修补了这方面的漏洞。

Amadeus 在声明中称:“我司一直将安全放在首位,并持续监控和更新我们的系统。在获知该问题后,安全团队迅速采取了行动,当前问题已经得到解决”。

不过为了进一步加强安全性,Amadeus 增加了一个 Recovery PTR,以防止恶意用户访问旅行者的个人信息。对此造成的不便,我们深表歉意。

最后,Rotem 给出了更进一步的建议,希望 Amadeus 能够引入验证机制(比如用密码取代 6 位 PNR 代码),以应对暴力穷举攻击。

2、两名联合创始人退出戴威名下公司,ofo 回应称为“正常调整” 

36氪讯,企查查工商信息显示,ofo创始人戴威名下公司北京拜克洛克技术服务有限公司发生股东变动,ofo联合创始人薛鼎、张巳丁退出。资料显示,变更后,ofo创始人戴威持股70%,联合创始人杨品杰持股20%,联合创始人于信持股10%。

对此,ofo方回应称其为子公司的正常调整。

觉得这些资讯有帮助?请转发给更多人

关注 技术最前线 加星标看 IT 要闻

640?wx_fmt=png

喜欢就点一下「好看」呗~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值