Проблемы безопасности в PyPI
Разработчики Python Package Index (PyPI) обнаружили уязвимость в функционале "Organization Team". Эта функция позволяла делегировать права нескольким разработчикам для работы над проектом. Проблема заключалась в том, что привилегии пользователей сохранялись даже после удаления их из команды. Уязвимость была быстро устранена, и аудит не выявил несанкционированных действий, связанных с неотозванными правами доступа. Это демонстрирует важность безопасного управления доступом в IT-инфраструктуре, особенно в контексте проектов развернутых на виртуальных серверах (VPS) и в облачных инфраструктурах.
Инцидент в crates.io
В репозитории crates.io, поддерживающем распространение пакетов на языке Rust, также была выявлена проблема. Ошибки на стороне бэкенда приводили к отправке данных в мониторинг Sentry, включая Cookie "cargo_session" с пользовательскими сессионными ключами. Обладатели таких ключей могли получить несанкционированный доступ к аккаунтам. Однако доступ к мониторинговым данным имели только доверенные участники проекта. После выявления проблемы ключи были удалены из Sentry и завершены все активные сессии. Это подчёркивает значимость защиты данных в инфраструктуре.
Вывод
Описанные инциденты подтверждают необходимость постоянного контроля и проверки безопасности в репозиториях и других IT-системах. Для бизнеса, использующего облачный хостинг и масштабируемые инфраструктурные решения, критично уделять внимание защите данных и управления доступом для достижения надёжной и безопасной работы.