PyPI Blokir Akun Terkait Domain Kadaluarsa untuk Cegah Pembajakan

20 Agustus 2025 – Python Package Index (PyPI) menerapkan perlindungan baru terhadap serangan domain resurrection, yakni upaya pembajakan akun melalui pemanfaatan domain email yang telah kadaluarsa. Ini merupakan langkah strategis untuk memperkuat keamanan rantai pasokan perangkat lunak open-source yang rawan dimanfaatkan oleh pihak tidak bertanggung jawab.

Fitur baru ini memungkinkan PyPI memantau domain yang digunakan sebagai email otentikasi akun. Jika domain tersebut memasuki masa kadaluarsa atau telah habis terdaftar, PyPI secara otomatis menandai alamat email terkait sebagai tidak terverifikasi. Langkah ini tak hanya mencegah akses tidak sah melalui reset kata sandi, tetapi juga menghilangkan potensi pencurian akun jika domain tersebut jatuh ke tangan pihak ketiga. Sejak Juni 2025, lebih dari 1.800 email telah ditandai tidak terverifikasi akibat masalah domain kadaluarsa.

Metode ini sangat penting karena akun pemelihara paket di PyPI sering dikaitkan dengan alamat email berbasis domain custom. Jika domain tersebut kedaluwarsa, pihak yang mendaftarkannya ulang bisa mengambil alih akun—sehingga bisa menerbitkan versi berbahaya dari paket yang banyak digunakan dalam ekosistem Python. Dengan pembaruan ini, PyPI bersama komunitas open-source mengurangi risiko serangan rantai pasokan dan memperkuat perlindungan terhadap pengguna dan pengembang Python.

Sumber: BleepingComputer