Báo cáo sự cố: Tiếp quản tài khoản người dùng
Không còn nghi ngờ gì nữa, một trong số những vấn đề lớn mà kho lưu trữ gói Python đang gặp phải (PyPI) Đó là vấn đề bảo mật. cả trong việc giới thiệu các gói cũng như tính bảo mật của tài khoản nhà phát triển.
Và điều phổ biến nhất được nghe về những vấn đề này là việc phát hiện các gói độc hại, đi đôi với việc khai thác lỗ hổng trong PyPI hoặc của các nhà phát triển ứng dụng.
Lý do để nói về nó là gần đây Quản trị viên PyPI đã công bố thông qua một bài viết trên blog Chi tiết về cách kẻ tấn công có thể chiếm quyền kiểm soát tài khoản của người dùng PyPI và được sử dụng để xóa quyền sở hữu của người dùng khỏi 4 dự án.
Điều đáng nói là liên quan đến sự cố này, hiện tại không phải do bất kỳ loại vấn đề PyPI nào (lỗ hổng) mà là do tài khoản của người dùng không được bảo vệ đầy đủ trước việc chiếm đoạt tài khoản.
Về sự việc, Người ta đề cập rằng kẻ tấn cônge, người đã giành được quyền kiểm soát các dự án, nhanh chóng bị chặn và không có thời gian để thực hiện các thay đổi cũng như tạo các phiên bản sửa đổi của kho lưu trữ mà anh ta đã giành được quyền kiểm soát.
Về chi tiết về cách kẻ tấn công giành được quyền kiểm soát tài khoản, người ta đề cập rằng Việc mua lại được thực hiện bằng cách thay thế chủ dự án (kẻ tấn công đã tự thêm mình làm người đóng góp cho các dự án này và xóa chủ sở hữu ban đầu).
Trình tự thời gian của các chuyển động kẻ tấn công đã làm gì, Họ được mô tả dưới đây:
Ngày: 2023-11-22
- 08:42:33 tài khoản người dùng dvolk mới được tạo
Tài khoản 08:44:55 meisnate12 mời dvolk làm cộng tác viên tại arrapi - 08:47:25 dvolk chấp nhận lời mời
- 08:47:35 dvolk xóa meisnate12 khỏi vai trò cộng tác viên trên arrapi (lặp lại cho tmdbapis, nagerapi, pmmutils)
- 08:50:27 tài khoản meisnate12 đã bị xóa
Không có hành động nào nữa được nhìn thấy từ dvolk sau thời điểm này. - 14:33, admin@pypi.org nhận được email từ địa chỉ được liên kết với tài khoản của meinstate12:
Có tính đến thứ tự thời gian, Chỉ còn 5 tiếng sau khi các dự án được khởi công để các quản trị viên PyPI nhận được thông báo từ tác giả ban đầu về những gì đã xảy ra, họ đã khóa tài khoản của kẻ tấn công và khôi phục quyền sở hữu các dự án.
- 14:46 Quản trị viên PyPI trả lời:
Cảm ơn bạn đã báo cáo. Chúng tôi đã đóng băng tài khoản được đề cập trong khi điều tra vấn đề này.
- 14:44 Quản trị viên PyPI thảo luận về các tùy chọn trong kênh Slack dành cho Quản trị viên PyPI với hai quản trị viên PyPI khác
- 14:46 Quản trị viên PyPI vô hiệu hóa
dvolktài khoản
Nguyên nhân vụ việc được xác định là do cơ quan an ninh quyền truy cập tài khoản không đầy đủ và không sử dụng xác thực hai yếu tố, điều này cho phép kẻ tấn công xác định các tham số đăng nhập cho người dùng "meisnate12" và thay mặt họ thực hiện các hành động.
Chúng tôi tích hợp với HaveIBeenPwned để xác minh mật khẩu của người dùng đối với dịch vụ của bạn mỗi lần đăng nhập. Thật không may, mật khẩu được đề cập trước đó chưa xuất hiện. vi phạm mà HaveIBeenPwned đã biết nên điều này không ngăn chặn được cuộc tấn công.
Đó là do những sự cố kiểu này gìquản trị viên PyPI vào cuối năm nay dự định chuyển tất cả tài khoản người dùng hỗ trợ ít nhất một dự án hoặc thành viên của các tổ chức giám sát bắt buộc sử dụng xác thực hai yếu tố. Kể từ năm ngoái, do một sự cố nên quyết định này đã được đưa ra và kể từ đó các nhà phát triển đã dần dần thực hiện các thay đổi trong việc triển khai 2FA
Và với việc sử dụng xác thực hai yếu tố, quản trị viên PyPI đề cập rằng nó sẽ tăng cường bảo vệ quá trình phát triển và bảo vệ các dự án khỏi những thay đổi độc hại do thông tin đăng nhập bị rò rỉ, sử dụng cùng một mật khẩu trên các trang web bị xâm nhập, hack địa phương của nhà phát triển. hệ thống hoặc sử dụng các phương pháp kỹ thuật xã hội.
Cuối cùng Nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.