The Python Package Index Blog
·
事件报告:未授权用户账户访问
💡
原文英文,约900词,阅读约需4分钟。
📝
内容提要
2024年3月31日,PyPI用户报告未授权的双重身份验证(2FA)活动。管理员冻结了约120个可疑账户,并要求未启用2FA的用户重新验证邮箱。4月1日,进一步冻结了54个账户,未发现包裹篡改证据。用户应采取措施保护账户,包括使用独特密码和启用2FA。
🎯
关键要点
- 2024年3月31日,PyPI用户报告未授权的双重身份验证(2FA)活动。
- 管理员冻结了约120个可疑账户,并要求未启用2FA的用户重新验证邮箱。
- 4月1日,进一步冻结了54个账户,未发现包裹篡改证据。
- 用户应采取措施保护账户,包括使用独特密码和启用2FA。
❓
延伸问答
PyPI发生了什么未授权活动?
2024年3月31日,PyPI用户报告未授权的双重身份验证(2FA)活动,用户收到通知称他们已启用2FA,但他们并未进行此操作。
PyPI管理员采取了哪些措施来应对这一事件?
管理员冻结了约120个可疑账户,并要求未启用2FA的用户重新验证邮箱。
事件中是否发现了包裹篡改的证据?
未发现包裹篡改的证据,调查主要集中在未授权账户访问上。
用户应该如何保护他们的PyPI账户?
用户应使用独特密码、验证邮箱、启用2FA,并保存恢复代码。
事件的性质与什么攻击类型相似?
该事件与凭证填充攻击(credential stuffing attack)相似,攻击者使用其他服务泄露的凭证尝试登录PyPI账户。
PyPI如何防止使用被泄露的密码?
PyPI通过与Have I Been Pwned API集成,检查登录时使用的密码是否被泄露,从而防止使用被泄露的密码。
➡️
