近日,Python 软件基金会的基础设施总监 Ee Durbin 在 PyPI 官方博客中透露: 2023 年 3 月和 4 月,Python 软件基金会 (PSF) 共收到了三份 PyPI 用户数据传票,三张传票均由美国司法部发出。
但美司法部的目标并非 PyPI ,而是在三张传票中总共请求了五个 PyPI 用户名相关的用户数据。其要求的用户数据包括
- 姓名(包括订户姓名、用户名和屏幕名称);
- 地址(包括邮寄地址、居住地址、公司地址和电子邮件地址);
- 连接记录;
- 会话时间和持续时间的记录,以及与这些会话相关的临时分配的网络地址(例如互联网协议地址);
- 服务期限(包括开始日期)和使用的服务类型;
- 电话或文书号码(包括注册的互联网协议地址);
- PyPI 服务的付款方式和来源(包括信用卡或银行帐号)和账单记录;
- (PyPI) 包的上传记录的给定用户名
- (PyPI) 包的 IP 下载日志的给定用户名
美司法部没有向 Python 软件基金会提供有关这些 PyPI 传票的法律环境和背景信息。有网友推测这是正在追捕一个在恶意攻击中利用了 PyPI 的组织,因为美司法部所要求的数据,非常符合“调查案件时从服务提供商处查找数据”的标准。
Python 软件基金会就此时咨询了律师,律师建议称只有一种行动方案,那就是老老实实地按要求提供相关数据。
PyPI 在 3/4 月份收到传票,但在保密令的影响下等到 5 月才能公布。也就是说,PyPI 很有可能不止收到三份传票,只是剩下的还不能公开。
PyPI 因恶意攻击行为被传唤似乎也挺正常,毕竟上面的恶意用户和恶意软件实在太多了。上周末,因 PyPI 索引上一周新创建的恶意用户/项目的数量实在太多,恰好大部分管理员又在休假,剩余的管理员完全应付不过来,只能暂时停止了新用户注册和新项目上传功能。