Python Paket Dizini (PyPI), dünya çapında birçok geliştirici tarafından bir proje oluşturmak veya projeleri için başka bağımlılıklar yüklemek için kullanılmıştır.
PyPI’nin önemli özelliklerinden biri, projeyi yalnızca projeyle bağlantılı olan kişilerin yükleyebilecek, silebilecek veya değiştirebilecek olmasıdır.
Ancak PyPI, kullanıcılarının 2023’ün sonuna kadar 2FA’yı etkinleştirmeleri konusunda ısrar etti. Bunun nedeni, PyPI’deki projelerin birçoğunun dünya çapında birçok geliştirici ve kullanıcı tarafından indirilmesi ve kullanılmasıdır.
Bir veri ihlali sırasında kimlik bilgileri gibi hassas bilgileri ele geçiren tehdit aktörleri, bu bilgileri tehlikeye attıkları hesaplarla ilişkili farklı web sitelerinde dener.
2FA Olmadan Etki
Bir tehdit aktörü, çalınan kimlik bilgileri aracılığıyla PyPI’deki herhangi bir kullanıcının hesabına erişim elde ederse, tehdit aktörünün herhangi bir proje paketindeki kodu değiştirme olasılığı yüksektir.
Bu, kötü amaçlı yazılım yüklenmesine, kötü amaçlı paket indirmeye, etkinlik izleme, uzaktan erişime vb. yol açabilir.
Birkaç kullanıcının indirdiği paketler, dünya çapında milyonlarca bilgisayarın ve kullanıcının ele geçirilmesine yol açacaktır.
Son derece geniş saldırı vektörü, tehdit aktörlerini kurulum paketlerini hedeflemeye çeker.
PyPI ayrıca, herhangi bir projenin, ilk %1’de veya 0 indirmeye sahip bir projede, herhangi bir projedeki herhangi bir bağımlılığı tehlikeye atabileceğini iddia etti.
Bu nedenle, belirli projeler yerine tüm projelerde 2FA uygulanması önerilir.
PyPI’ye göre, “Bugün, Python ekosistemini güvence altına almaya yönelik bu uzun vadeli çabanın bir parçası olarak, PyPI’da herhangi bir proje veya kuruluş sürdüren her hesabın 2023’ün sonuna kadar hesaplarında 2FA’yı etkinleştirmesi gerekeceğini duyuruyoruz.
İki faktörlü kimlik doğrulama, güvenliği ihlal edilmiş bir parolayla ilişkili riski anında etkisiz hale getirir. Saldırganın birinin parolasına sahip olması, o kişinin o hesaba erişmesine izin vermek için artık yeterli değil.”
GitHub ve diğerleri gibi birçok şirket, kullanıcılarını tehdit aktörlerinden korumak için 2FA’yı zorunlu kıldı. Kullanıcılar, güvenliğin öneminin ve etkisinin farkına varıyorlar.
CISO’ların Karşılaştığı Ortak Güvenlik Sorunları? – Ücretsiz CISO Kılavuzunu İndirin
