Zespół administracyjny Python Package Index (PyPI) – największego oficjalnego repozytorium pakietów dla języka Python – zablokował możliwość rejestracji i aktualizacji kont użytkownikom korzystającym z adresów e-mail z domeny inbox.ru, należącej do rosyjskiego holdingu Mail.ru Group, dziś kontrolowanego przez koncern VK.
Decyzja wywołała natychmiastową burzę w środowisku programistów. Niektórzy wykazują zrozumienie, jednak część obserwatorów mówi wręcz o „dyskryminacji technologicznej” wobec obywateli Rosji. PyPI tłumaczy się jednak troską o bezpieczeństwo platformy i użytkowników – chodzi o rzekomy zorganizowany proceder „slopsquattingu”, czyli masowego tworzenia fałszywych projektów w celu zarezerwowania nazw potencjalnych bibliotek.
Czym jest slopsquatting i jak działa?
Zjawisko, które sprowokowało blokadę, to slopsquatting – forma cybersquattingu polegająca na rejestrowaniu nazw bibliotek, które nie istnieją, ale mogą być przez przypadek zasugerowane lub błędnie wpisane przez użytkowników, w tym także przez duże modele językowe, jak np. ChatGPT.
W oficjalnym komunikacie PyPI czytamy, że konta powiązane z adresami z domeny inbox.ru założyły około 250 profili, które w krótkim czasie zarejestrowały ponad 1500 pustych projektów. Wszystkie te pakiety były pozbawione kodu, a ich głównym celem miało być przechwytywanie uwagi i zaufania użytkowników, którzy przypadkowo mogli zainstalować je w swoich środowiskach deweloperskich.
Choć brak było jakichkolwiek funkcji złośliwego oprogramowania, PyPI określa tę aktywność jako potencjalne zagrożenie bezpieczeństwa, sugerując, że może to być przygotowanie do zmasowanego ataku, którego skutki mogłyby być znacznie poważniejsze.
Tylko inbox.ru – co z resztą?
Co ciekawe, blokada objęła jedynie domenę inbox.ru, pozostawiając dostęp aktywny dla innych należących do Mail.ru – jak mail.ru, bk.ru czy list.ru. Dla wielu komentatorów może to wskazywać na eksperymentalny charakter działań PyPI, który testuje reakcję społeczności przed wprowadzeniem szerszych ograniczeń.
Na razie blokada oznacza, że:
-
nie można założyć nowego konta z adresem w domenie inbox.ru,
-
nie można dodać takiego adresu jako alternatywnego lub kontaktowego do już istniejącego konta,
-
użytkownicy z inbox.ru nie mogą publikować nowych projektów ani aktualizować istniejących.
Rosja i Python – relacja zagrożona?
Rosyjskie środowisko programistyczne od lat aktywnie korzysta z Pythona – jednego z najpopularniejszych języków programowania na świecie (według indeksu TIOBE lider nieprzerwanie od października 2021 r.). Dla wielu niezależnych twórców i startupów PyPI to podstawowe źródło bibliotek i narzędzi, a jego niedostępność może znacząco utrudnić pracę.
Z drugiej strony, administratorzy repozytoriów open source coraz częściej podejmują działania prewencyjne, nie czekając na realny atak. Zdaniem ekspertów ds. bezpieczeństwa cybernetycznego, puste i pozornie nieszkodliwe pakiety mogą zostać w dowolnej chwili uzupełnione złośliwym kodem, co czyni je idealnym nośnikiem do przyszłych kampanii phishingowych, kradzieży danych lub sabotażu systemów.
Uderzenie w społeczność czy krok w stronę bezpieczeństwa?
PyPI znalazło się pod ostrzałem krytyki – część internautów wskazuje na brak jednoznacznych dowodów na złamanie prawa oraz karanie zbiorowe użytkowników tylko z powodu ich adresu e-mail. Z drugiej strony, administratorzy przypominają, że profilaktyka w zakresie cyberbezpieczeństwa jest konieczna i że platforma ma obowiązek chronić swoich użytkowników przed potencjalnymi atakami.
Przypadek inbox.ru może również skłonić inne platformy open source do rewizji swojej polityki rejestracyjnej i monitorowania aktywności użytkowników – szczególnie tych działających w sposób zautomatyzowany i masowy.
Pokaż / Dodaj komentarze do: Rosjanie zostali wypędzeni ze społeczności Pythona. Koniec akceptacji