De Python Package Index (PyPI) controleert dagelijks op verlopen domeinnamen, gebruikt bij de accountregistratie door gebruikers, om zo te voorkomen dat aanvallers een verlopen domein registreren en de controle over gebruikersaccounts krijgen, zo heeft het zelf bekendgemaakt. De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages.

Tijdens het registreren van een PyPI-account moeten gebruikers een e-mailadres opgeven, waarna PyPI er een verificatielink naartoe mailt. Een aanvaller die controle over een PyPI-account weet te krijgen kan bijvoorbeeld malware aan een package toevoegen. In het verleden is dit verschillende keren voorgekomen. Eén manier om een PyPI-account over te nemen is het registreren van een domein dat een gebruiker tijdens de registratie gebruikte en verlopen is.

Sinds begin juni telt PyPI naar eigen zeggen meer dan 1800 e-mailadressen waarvan het bijbehorende domein is verlopen. Een aanvaller zou deze domeinen kunnen registreren en dan een wachtwoordreset uitvoeren. Sinds 1 januari 2024 is het gebruik van tweefactorauthenticatie (2FA) voor actieve PyPI-accounts verplicht. In dit geval zou een aanvaller, nadat die eerst het verlopen domein registreert, ook over de tweede factor moeten beschikken of een "full account recovery" moeten uitvoeren.

Voor oudere accounts van voor de datum dat 2FA verplicht werd gesteld is het voldoende voor een aanvaller om alleen over het e-maildomein te beschikken en zo het account over te nemen, waarschuwt PyPI. Om dergelijk misbruik te voorkomen gaat de Python Package Index nu dagelijks controleren of een domein gebruikt in de e-mailadressen van gebruikers is verlopen of niet. Is een domein verlopen, dan zal de e-mailbestemming op ongeverifieerd worden gezet. PyPI zal geen password reset request sturen naar e-mailadressen die ongeverifieerd zijn. Dit moet zowel PyPI-accounts als eindgebruikers van PyPI-packages beschermen, zo laat de index weten.