Python Багц Индекс (PyPI) репозиторын администраторууд халдагч этгээд arrapi, tmdbapis, nagerapi, pmmutils төслүүдийг хяналтандаа авч, сар бүр ойролцоогоор 4.5 таталттай болсон тухай мэдээлсэн. Бүх төслүүдийг нэг зохиогч (meisnate12, Натан Таггарт) хариуцаж байсан бөгөөд түүний бүртгэлийг алдагдуулсаны дараа хүлээн авсан. Төслүүдийг хяналтандаа авсан халдлага үйлдэгч хурдан түр түдгэлзсэн бөгөөд өөрчлөлт хийх эсвэл өөрчилсөн хувилбаруудыг үүсгэх боломжгүй байв.
Төслийн эзэмшигчийг солих замаар энэ ажлыг гүйцэтгэсэн. Халдагчид "dvolk" бүртгэлийг үүсгэсэн бөгөөд дараа нь үндсэн засварлагч "meisnate12" нэрийн дор "dvolk"-ыг хөтлөгчдийн жагсаалтад нэмэх урилга гаргажээ. Урилгыг хүлээн авч, төслийн хяналтыг авсны дараа халдлага үйлдэгч анхны зохиогчийг төслөөс хасч, төслийг цорын ганц хариуцагчаар үлдээв. Үүнтэй төстэй заль мэхийг хийсний дараа бүх төслүүдэд "meisnate12" дансыг устгах үйл явцыг эхлүүлсэн.
Төслүүдийг хулгайлснаас хойш таван цагийн дараа PyPI-ийн администраторууд тухайн үйл явдлын талаар анхны зохиогчоос мессеж хүлээн авч, халдагчийн дансыг хааж, төслийн өмчлөлийг сэргээсэн. Ослын шалтгааныг дансны хамгаалалт хангалтгүй, хоёр хүчин зүйлийн баталгаажуулалт байхгүйгээс халдагчид "meisnate12" хэрэглэгчийн нэвтрэх мэдээллийг тодорхойлж, тэдний өмнөөс үйлдэл хийх боломжтой болсон гэж үзжээ.
Энэ оны эцэс гэхэд PyPI репозитор дор хаяж нэг төсөл хөтлөх эсвэл дэмжигч байгууллагад харьяалагддаг бүх хэрэглэгчийн бүртгэлд заавал хоёр хүчин зүйлийн баталгаажуулалтыг хэрэгжүүлэхээр төлөвлөж байна. Хоёр хүчин зүйлийн нэвтрэлт танилт нь хөгжүүлэлтийн процессын аюулгүй байдлыг бэхжүүлж, итгэмжлэл алдагдсан сайтууд дээр ижил нууц үг ашиглах, хөгжүүлэгчийн локал системийг хакердах, нийгмийн инженерчлэлээс үүдэлтэй хортой өөрчлөлтөөс төслүүдийг хамгаалах болно.
Хоёр хүчин зүйлийн баталгаажуулалтын аргууд бол FIDO U2F жетон бүхий WebAuthn эсвэл Authy, Google Authenticator, FreeOTP зэрэг TOTP протоколыг дэмждэг нэг удаагийн нууц үгэнд суурилсан баталгаажуулалтын програмууд юм. Багцуудыг байршуулахдаа хөгжүүлэгчид OpenID Connect (OIDC) стандарт дээр суурилсан "Итгэмжлэгдсэн нийтлэгчдийн" баталгаажуулалтын арга руу шилжих эсвэл API жетон ашиглахыг зөвлөж байна.
Эх сурвалж: opennet.ru
