Разработчики репозитория Python-пакетов PyPI (Python Package Index) реализовали защиту от захвата проектов путём покупки освобождённых доменов, указанных в параметрах учётных записей. Атака сводится к тому, что атакующие выискивают учётные записи, привязанные к email с просроченными доменами, после чего регистрируют освобождённый домен на себя, перенаправляют почтовый трафик на свой сервер и, получив контроль над email, инициируют процесс восстановления забытого пароля. В 2022 году данным способом был получен контроль за Python-пакетом ctx.
Для защиты от подобных атак в PyPI реализован ежедневный мониторинг актуальности доменных имён, используемых в email-адресах. Email-адреса с доменами, срок действия которых истёк, теперь автоматически переводятся в состояние неподтверждённых. Для неподтверждённых адресов PyPI не позволяет выполнить операцию восстановления пароля. Повторное прохождение верификации может инициировать только владелец учётной записи, знающий пароль.
С начала июня в пользовательской базе PyPI выявлено более 1800 email-адресов, связанных с вовремя не продлёнными доменами. C 1 января 2024 года каталог PyPI перешёл на обязательную двухфакторную аутентификацию, без включения которой пользователь не может выполнять действия по управлению проектом. Тем не менее, для старых пользователей, созданных до введения обязательной двухфакторной аутентификации, сохраняется возможность восстановления пароля через подтверждение по email, не требующее двухфакторной проверки.
Источник: opennet.ru
