La programistoj de la deponejo Python Package Index (PyPI) de Python-pakaĵoj efektivigis protekton kontraŭ projekta transpreno aĉetante liberigitajn domajnojn specifitajn en la konto-parametroj. La atako reduktiĝas al la fakto, ke la atakantoj serĉas kontojn ligitajn al retpoŝtoj kun eksvalidiĝintaj domajnoj, poste registras la liberigitan domajnon por si mem, redirektas poŝtan trafikon al sia servilo kaj, akirinte kontrolon super la retpoŝto, komencas la procezon de reakiro de forgesita pasvorto. En 2022, kontrolo super la Python-pakaĵo ctx estis akirita tiel.
Por protekti kontraŭ tiaj atakoj, PyPI efektivigas ĉiutagan monitoradon de ĝia graveco. domajnaj nomoj, uzata en retpoŝtadresoj. Retpoŝtadresoj kun eksvalidiĝintaj domajnoj nun estas aŭtomate markitaj kiel nekonfirmitaj. PyPI ne permesas pasvortan retrovon por nekonfirmitaj adresoj. Re-konfirmon povas iniciati nur la kontposedanto, kiu konas la pasvorton.
Ekde frua junio, pli ol 1800 1 retpoŝtadresoj asociitaj kun nerenovigitaj domajnoj estis identigitaj en la uzantaro de PyPI. Ekde la 2024-a de januaro XNUMX, la PyPI-dosierujo ŝanĝis al deviga du-faktora aŭtentigo, sen kiu la uzanto ne povas plenumi agojn por administri la projekton. Tamen, por malnovaj uzantoj kreitaj antaŭ la enkonduko de deviga du-faktora aŭtentigo, la eblo reakiri la pasvorton per retpoŝta konfirmo restas, kio ne postulas du-faktoran konfirmon.
fonto: opennet.ru
