PyPI Preventing Domain Resurrection Attacks

Кратко
PyPI теперь ежедневно отслеживает, не истёк ли домен, к которому привязан e-mail пользователя. Если домен переходит в «период искупления» (redemption), адрес автоматически становится «неподтверждённым», что блокирует атаку «воскрешения» домена и захват аккаунта через восстановление пароля. С июня 2025 г. таким образом аннулировано более 1 800 адресов.

Как работает атака

Владелец забывает продлить домен.
Злоумышленник выкупает домен, поднимает почту, запрашивает сброс пароля PyPI.
До внедрения 2FA (до 1 янв 2024) это давало полный доступ; теперь нужно ещё обойти второй фактор, но риск остаётся.

Жизненный цикл домена
Активен → дата окончания → льготный период (до 45 дней) → redemption (30 дней, высокая цена) → 5 дней «pending delete» → освобождение. PyPI проверяет статус раз в 30 дней через API Domainr и действует до момента смены владельца.

Что делает PyPI

С апреля 2025 ежедневный мониторинг.
При переходе в redemption статус e-mail меняется на «unverified».
Пользователю приходит уведомление; повторное подтверждение возможно только после продления домена.

Совет пользователям

Продлевайте домены заранее.
Используйте надёжный почтовый сервис с авто-продлением.
Добавьте резервный подтверждённый адрес на стабильном домене.

Комментарии (37)

Проблема повторного использования email-адресов после удаления аккаунтов ставит под угрозу цифровую идентичность и безопасность пакетов (Maven, Go).
Google и Microsoft по-разному подходят к блокировке «мертвых» доменов и email, но единого стандарта нет.
URI-импорты и доменные namespace кажутся хрупкими: домен может истечь, а пакет — подмениться.
Сильная криптографическая идентичность (PGP, Keybase, SigSum) технически решена, но не взлетела из-за UX, потери ключей и репутационных проблем крипто-мира.
Участники сходятся во мнении: нужно что-то простое, децентрализованное и без единой точки отказа, но пока нет рабочего массового решения.