PyPI adota medida de segurança contra ataques de “ressurreição de domínios”

O PyPI anunciou uma nova proteção contra ataques em que invasores registram domínios expirados para assumir contas por meio de redefinições de senha. Como as contas da plataforma estão vinculadas a endereços de e-mail dependentes de domínios, a expiração de um deles pode permitir que outra pessoa o registre, configure um servidor de e-mail e obtenha acesso indevido às contas relacionadas.

Contas com autenticação em dois fatores (2FA) permanecem seguras. Para os demais casos, o PyPI passará a desconsiderar automaticamente endereços vinculados a domínios em expiração. Quando um domínio entra em período de resgate, os e-mails associados deixam de ser considerados confiáveis, e sua verificação é removida. Dessa forma, não serão enviados links de redefinição de senha para esses endereços.

Segundo a empresa, desde a adoção da medida, em junho de 2025, mais de 1.800 e-mails já tiveram a verificação suspensa.

A checagem será feita em intervalos de 30 dias, cobrindo a maior parte dos prazos de renovação ou resgate, permitindo ação antes que o domínio seja definitivamente liberado ou transferido. O PyPI destaca que não detectará transferências legítimas de domínios ativos, presumindo que essas ocorram mediante acordo entre as partes.