7.73 亿邮箱信息泄露；IntelliJ IDEA 18 周岁

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、7.73 亿 email 信息泄露，你的密码可能在里边

安全研究员 Troy Hunt 披露，上周他被告知一个流行的黑客论坛正在讨论 MEGA 上的一个公开数据集，其容量超过 87GB，包含了 7.73 亿电子邮件地址和 2122 万个唯一密码。论坛上公开的一个图像显示数据集的根文件夹名字叫 Collection #1，因此这一次的数据泄露被称为 Collection #1。

Hunt 称，他检查了这个数据集，发现自己的电邮地址和旧密码都在里面，而且是正确的，幸运的是密码已经不再使用。

用户可以访问他的 Have I Been Pwned 服务，看看自己的信息是否遭到泄露：

https://haveibeenpwned.com/

该数据集已经被删除，但根据论坛的讨论数据已经广泛流传。

          

1、IntelliJ IDEA 18 周岁

17 日，IntelliJ IDEA 发推特庆祝其 18 周岁生日。

IntelliJ IDEA 是 JetBrains 旗下的一个 Java IDE，它整合了开发过程中实用的众多功能，几乎可以不用鼠标方便地完成任何开发工作。其在各种 IDE 排行榜上均有不错的成绩，国内拥趸颇多。

2、Java 11 究竟比 8 快了多少？看看这个基准测试

开源规划调度引擎 OptaPlanner 官网发布了一个 Java 11 GC 性能基准测试报告。

当前使用量最大的 Java 版本是 8，所以测试者用 Java 8 与 Java 11 进行对比测试。GC 是影响 Java 性能的关键因素，所以测试自然也基于 GC，在 G1 GC 和并行 GC 下分别进行了测试，结果如下：

使用 G1 GC

G1 GC 下每秒分值：

Java 11 在几乎所有测试数据集上都有速度上的提升。平均而言，仅通过切换到 Java 11 就有 16％ 的改进，这种改进可能是因为 Java 10 中引入了 JEP 307: Parallel Full GC for G1。

使用并行 GC

并行 GC 下每秒分值：

使用并行 GC，结果不如 G1，某些数据集上有所改进，但其它数据集保持不变甚至出现性能下降。平均而言，Java 11 的性能提升了 4％ 以上。

测试者还在 Java 11 上对并行 GC 与 G1 GC 进行对比：

Java 11 上并行 GC vs. G1 GC

结果表明 G1 GC 整体上不如并行 GC。

OptaPlanner 表示，从 Java 8 到 Java 11，G1 GC 的平均速度改进为 16.1％，并行 GC 为 4.5％。此外虽然并行 GC 面向吞吐量，而 G1 则侧重于低延迟 GC，但是 Java 11 中带来的 G1 显著改进，使得将两者进行直接比较是有意义的。此外，基于基准测试中的大多数数据集来看，并行 GC 还是更适合 OptaPlanner 的，因为吞吐量对于解决 OptaPlanner 的优化问题更为重要。

【业界资讯】

0、超 140 城居民可在支付宝领电子社保卡：可在线查询社保

36氪讯，全国已有18个省、超过140个城市在支付宝上线了电子社保卡。

用户在支付宝里点击“城市服务”、选择所在城市及电子社保卡，或直接搜索“城市名+电子社保卡”，“刷脸”认证后即可申领。电子社保卡由全国社保卡服务平台统一签发和管理，与实体社保卡一一对应，唯一映射，状态相通。签发后，居民可以随时在线查询社保信息，未来还可扫码购药、就医结算。

1、Amadeus 订票系统惊曝高危漏洞：影响全球近半数航企

外媒报道称，被全球近半数国际航空公司所使用的 Amadeus 机票预订系统，近日被曝存在一个严重的安全漏洞，使得黑客能够轻松查看和更改旅客信息。比如将其他常旅客的里程兑换到黑客指定的个人账户，或更改联系人信息、将客户机票退订。据悉，该漏洞由 Noam Rotem 与安全侦探研究实验室发现，影响全球 141 家国际航空公司（占比 44%）。

Noam Rotem 解释称：漏洞与乘客姓名记录（PNR）系统有关，PNR 用于给航班上的每位乘客指定唯一标识符。

通过刷新机票预订网页的特定元素（RULE_SOURCE_1_ID），Rotem 能够查看他被 Amadeus 纪录任何客户的 PNR 名称和航班详情。

拿到 PNR 和姓名之后，攻击者能够登陆任何受影响的航空公司门户网站，并可能造成严重的破坏。

虽然不会造成安全或财务数据上的威胁，但该漏洞依然能够轻易毁掉许多人的出行安排。此外，黑客可以窃取常旅客的航空里程、冒充用户取消航班，变更座位、甚至用餐计划。

综上所述，问题的关键，在于 PNR 代码上。遗憾的是，航空公司及其客户并没有受到完全的保护。

航司会将这些信息通过非加密的形式传输，因此特别容易受到中间人攻击。此外，许多无心的旅客，有在社交网络上主动曝光自己登机牌的坏习惯。

（Rotem 脚本示例）

更糟糕的是，Rotem 发现 Amadeus 缺乏应对暴力穷举攻击的有效措施。他编写了一个简单的脚本，能够生成随机的 PNR 代码，并成功访问了许多客户的账户。

Rotem 及时将该问题反馈给了以色列航空公司 EL AL，后者又转告了 Amadeus 安全团队。万幸的是，他们后来修补了这方面的漏洞。

Amadeus 在声明中称：“我司一直将安全放在首位，并持续监控和更新我们的系统。在获知该问题后，安全团队迅速采取了行动，当前问题已经得到解决”。

不过为了进一步加强安全性，Amadeus 增加了一个 Recovery PTR，以防止恶意用户访问旅行者的个人信息。对此造成的不便，我们深表歉意。

最后，Rotem 给出了更进一步的建议，希望 Amadeus 能够引入验证机制（比如用密码取代 6 位 PNR 代码），以应对暴力穷举攻击。

2、两名联合创始人退出戴威名下公司，ofo 回应称为“正常调整” 

36氪讯，企查查工商信息显示，ofo创始人戴威名下公司北京拜克洛克技术服务有限公司发生股东变动，ofo联合创始人薛鼎、张巳丁退出。资料显示，变更后，ofo创始人戴威持股70%，联合创始人杨品杰持股20%，联合创始人于信持股10%。

对此，ofo方回应称其为子公司的正常调整。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻

喜欢就点一下「好看」呗~