A Python Package Index (PyPI) confirmou que todos os utilizadores na plataforma vão necessitar de ativar a Autenticação em Duas etapas para manterem as suas contas ativas, até ao final do ano.
A PyPI é um dos maiores repertórios online de pacotes de linguagem de programação Python, contando com mais de 200.000 pacotes criados e armazenados nos seus sistemas.
A equipa do portal afirma que a obrigatoriedade de ativar a Autenticação em Duas Etapas para todas as contas faz parte de um plano mais alargado da entidade para garantir mais segurança na sua plataforma. A mesma surge ainda como parte de outros planos da entidade para garantir mais segurança dos pacotes existentes, através da verificação constante de credenciais de login roubadas e tokens API.
Esta medida adicionar de proteção também previne que contas possam ser comprometidas e tenham os pacotes enviados para a plataforma adulterados com conteúdos maliciosos. Apesar de não ser possível de evitar todos estes ataques, a autenticação em duas etapas pode ajudar consideravelmente a evitar tal medida.
Os criadores dos projetos ainda possuem a responsabilidade de manter os seus pacotes protegidos e atualizados, mas ainda assim, este método adicional de segurança pode ser usado para evitar ataques em larga escala, e os conhecidos ataques de "supply chain".
De notar que esta medida surge depois da plataforma ter verificado um aumento considerável no envio de pacotes de malware. O caso foi de tal gravidade que, durante a semana passada, a PyPI teve de encerrar o registo de todas as novas contas de programadores e suspender o envio de novos pacotes até serem aplicadas novas medidas de proteção.
A nova regra aplica-se a todas as contas da plataforma, sendo que estas possuem até ao final de 2023 para ativarem a mesma. As contas que não tenham ativado a autenticação em duas etapas até ao final do ano deixam de conseguir aceder à plataforma até que ativem as mesmas.
Nenhum comentário
Seja o primeiro!