Администраторы репозитория Python-пакетов PyPI (Python Package Index) опубликовали информацию о выявлении неавторизированного доступа к 174 учётным записям пользователей сервиса. По предположению представителей PyPI параметры аутентификации пострадавших пользователей были получены из коллекциях ранее скомпрометированных учётных данных, сформированных в результате взломов или утечек баз пользователей других сервисов. Доступ к учётным записям в PyPI удалось получить из-за использования жертвами атаки одинаковых паролей на разных сайтах и невключения двухфакторной аутентификации в каталоге PyPI.
Активность атакующих была выявлена после получения серии жалоб, в которых пользователи сообщали о получении уведомлений от PyPI об активации двухфакторной аутентификации, в то время как они не заходили в это время в свою учётную запись и сами ничего не меняли. В результате анализа логов был выявлен доступ посторонних к учётным записям 174 пользователей. Следов подделки пакетов или другой вредоносной активности не выявлено – все действия атакующих ограничились несанкционированным доступом и изменением учётных записей.
Пострадавшие учётные записи была заблокированы до окончания разбирательства, а всем остальным пользователям PyPI, у которых не была включена двухфакторная аутентификация, отправлены уведомления и инициирован процесс повторной верификации их email. Всего двухфакторная аутентификация не была включена у 370 тысяч пользователей (56%) каталога.