PyPI auf Vorladung: US-Regierung fordert Nutzerdaten an
Der Python Package Index (PyPI) mit einer umfangreichen Sammlung von mehr als 450.000 Python-Paketen ist ein sehr beliebtes Repository unter Entwicklern. Diese Pakete werden als Archive gespeichert, die als "sdlists" oder vorkompilierte "wheels" bezeichnet werden.
Das US-Justizministerium hat drei Vorladungen an die Python Software Foundation (PSF) gerichtet, in denen es die Offenlegung von PyPI-Nutzerdaten fordert. Der Schwerpunkt dieser Vorladungen lag auf fünf bestimmten PyPI-Benutzernamen, und die angeforderten Daten lassen sich wie folgt zusammenfassen:
PyPI-Datenanfrage
- Namen, einschließlich Teilnehmernamen, Benutzernamen und Bildschirmnamen.
- Adressen, einschließlich Post-, Wohn-, Geschäfts- und E-Mail-Adressen.
- Verbindungssätze
- Aufzeichnungen über Sitzungszeiten und -dauern sowie die vorübergehend zugewiesenen Netzadressen, wie z. B. Internetprotokoll (IP)-Adressen, die mit diesen Sitzungen verbunden sind.
- Dauer des Dienstes, einschließlich des Anfangsdatums und der Art der in Anspruch genommenen Dienste.
- Telefon- oder Gerätenummern, einschließlich der Internetprotokoll-Adresse (IP) der Registrierung.
- Zahlungsmittel und -quelle für derartige Dienstleistungen, einschließlich Kreditkarten- oder Bankkontonummern und Rechnungsunterlagen.
- Aufzeichnungen aller Python Package Index (PyPI) Pakete, die von den angegebenen Benutzernamen hochgeladen wurden.
- IP-Download-Protokolle aller Python Package Index (PyPI)-Pakete, die von den angegebenen Benutzernamen hochgeladen wurden.
Wie Sie sehen können, hat das Justizministerium eine umfangreiche Liste von PyPI-Nutzerdaten angefordert. Nach Rücksprache mit ihrem Rechtsbeistand und der Entscheidung, dass die PyPI-Administratoren nichts anderes tun konnten, mussten sie der Aufforderung nachkommen, da die PSF dem US-Recht unterliegt. Natürlich ist es schwierig, sich gegen eine Vorladung zu wehren. Um die Freiheit, die Sicherheit und die Privatsphäre ihrer Nutzer weiter zu verbessern, werden PyPI und PSF ihre derzeitigen Daten- und Datenschutzverfahren überprüfen.
Schlussfolgerung
Die Python Software Foundation wird nun neue Richtlinien zur Datenspeicherung und -weitergabe erstellen, um auf bevorstehende Datenanfragen der Regierung zu reagieren. Sie werden auch angeben, wie und wie lange sie persönlich identifizierbare Informationen über Nutzer auf ihren Systemen speichern werden. Wenn Sie mehr über die bereitgestellten Informationen und die Bemühungen der PyPI um Transparenz erfahren möchten, können Sie ihren Blogartikel lesen.
Das Extended Long-term Support (ELS)-Programm von TuxCare für Python 2.7 ermöglicht es Ihnen, Ihre bestehende Software wie bisher weiter zu nutzen. Dieses Programm bietet eine moderne Plattform, die Ihre Compliance-Anforderungen erfüllt und gleichzeitig sicherstellt, dass Sie wichtige Sicherheitsupdates erhalten, die speziell auf hohe und kritische Sicherheitslücken ausgerichtet sind.
Die Quellen für diesen Artikel sind u.a. ein Artikel von It's FOSS News.