29.05.23 12:13
Фонд ПО Python (PSF) сообщил о том, что в марте и апреле 2023 года он получил три повестки с требованием предоставить данные пользователей PyPI - репозитория программного обеспечения для языка программирования Python. Все три повестки были выданы Министерством юстиции США без объяснения правовых обстоятельств. Всего были запрошены данные, связанные с пятью именами пользователей PyPI, пишет Securitylab.
Запрошенные данные включали:
- имена, связанные с идентифицированными учетными записями,
- адреса (включая почтовые, электронные, жилые и служебные),
- записи о соединениях,
- записи о времени сеансов и связанные с ними сетевые идентификаторы,
- даты создания учетных записей,
- номера телефонов и IP-адреса, используемые при регистрации,
- способ и источник оплаты,
- загруженные пакеты Python,
- журналы загрузки IP-адресов любых пакетов PyPI, загруженных идентифицированными пользователями.
В фонде подчеркнули, что конфиденциальность пользователей PyPI имеет первостепенное значение и, что они делает все возможное, чтобы не допустить разглашения их данных. Однако в данном случае PSF по совету юристов решил, что единственный вариант действий - предоставить запрошенные данные.
В PSF также сообщили, что сейчас они разрабатывает новые политики хранения и раскрытия данных, чтобы учитывать разнообразные интересы сообщества Python и защитить личные данные от ненужных запросов или компрометации. Новые правила будут ясно изложены для сообщества и будут касаться процедур для будущих запросов данных от правительства, сроков и объемов хранения личных данных.
