В PyPI разблокировали регистрацию с электронных адресов inbox.ru, так как это была спам-проверка от VK

Администраторы репозитория Python‑пакетов PyPI (Python Package Index) сняли блокировку с электронных адресов inbox.ru после того как выяснилось, что 1525 проектов были созданы не злоумышленниками, а командой разработчиков, занимающейся обеспечением безопасности в компании VK (ей принадлежит домен inbox.ru).

По заверению PyPI, целью этой кампании была деятельность по предотвращению потенциальных атак на внешние библиотеки, используемые в VK. Представители VK извинились и заверили, что больше не будут подобным образом регистрировать проекты для выявления и предотвращения атак.

«Нам стало известно, что спам‑кампания была организована компанией, владеющей почтовым доменом inbox.ru, а не злоумышленниками, как мы изначально подозревали.

После публикации предыдущей публикации представитель материнской компании inbox.ru обратился к администраторам PyPI для обсуждения ситуации. Они выразили желание решить проблему и восстановить возможность регистрации учётных записей PyPI с адресами электронной почты из домена inbox.ru. Они подтвердили, что регистрация учётных записей пользователей PyPI была произведена внутренней службой безопасности «для предотвращения возможного злоупотребления внешними библиотеками для атак на наши системы».

В компании также подтвердили, что провели совещания сотрудников и решили отказаться от этой практики и разработать альтернативные методы обнаружения и предотвращения злоупотреблений, и принесли извинения за инцидент.

В связи с этим мы вновь вернули пользователям возможность регистрировать учётные записи с использованием почтового домена inbox.ru и добавлять адреса электронной почты inbox.ru к существующим учётным записям.

Мы продолжим следить за ситуацией, и если увидим дальнейшие злоупотребления с этого