PyPIが召喚状を受けた

PyPIが召喚状を受けた

Posted on By 📢 ℂ𝕠𝕚𝕟𝕥𝕖𝕝𝕖𝕘𝕣𝕒𝕡𝕙™

投稿者: Ee Durbin · 2023-05-24

2023 年 3 月と 4 月に、Python System Basis (PSF) は PyPI 消費者情報を求めて 3 件の召喚状を購入しました。 3件の召喚状はすべて米国司法省によって発行されていた。 PSF は以前、これらの召喚状を取り巻く驚くべき状況に関する情報を提供していませんでした。 完全に、5 ​​つの PyPI ユーザー名に関連する消費者情報が要求されました。

以前のガイドライン クエリは次のとおりでした:

  1. ” 名前 (加入者名、消費者名、視覚的表示とともに)ユニット名);”
  2. “住所 (郵送先住所、住居住所、商業用住所、および電子メール アドレスを含む) );”
  3. “接続情報;”
  5. 「セッション時間と期間のデータを記録し、一時的に割り当てられたネットワークがこれらの期間に関連する (インターネット プロトコル アドレスによく似た) 処理を行います。」

    6. 「サービスの次元 (生年月日とともに) および利用されている企業および製品の形態」

  6. “携帯電話または機器の番号 (インターネット プロトコルの登録とともに);”
  7. 「この形式の企業および商品の支払い方法および提供(クレジット スコア カードまたは当座預金口座番号とともに)および請求先情報。」

    8. 「…によってアップロードされたすべての Python Package deal Index (PyPI) プログラムのデータを記録します」指定されたユーザー名

  8. 「IP は、… によってアップロードされた Python Package deal Index (PyPI) プログラムのログを検索します。」指定されたユーザー名

PyPI 顧客のプライバシーは最大限に尊重されますPSF と PyPI 管理者に説明すると、私たちは消費者情報を常に開示から守ることに専念しているようです。 この場合、代わりに、私たちの最も生産的な行動ルートは要求された情報を提示することであったという弁護士の提案に従って PSF をパドルします。 私は、Python System Basis のインフラストラクチャ担当ディレクターとして、PSF の顧問とのセッションでリクエストを実行しました。

文字列を待っています。ただし、透明性の問題として、また 2023 年 3 月と 4 月に購入した召喚状に関連する非公開の存在がなかったため、私たちは立ち上げ当初からこの投稿を書き留めて投稿することに専念していましたが、 .

その後のステップ

PyPI と PSF は、お客様の自由、セキュリティ、プライバシーを重視しています。

このルートでは、Python コミュニティの多くの追求を考慮に入れて、明確な価値を重視するために、最新の情報とプライバシーの基準を再検討する時間を設けています。 PyPI 顧客からの非公開情報はほとんど、あるいはまったく得られていませんが、不必要に保持されている情報は、悪意やオペレーターのミスによる情報漏洩の基本的な取り組みと同様に、これらすべてのリクエストに対して平和的に対処できます。

その結果、最近の情報保持および開示ポリシーは 2 日に増加しています。 これらのポリシーは、将来の当局からの情報要求に対する当社の手順、消費者アクセス情報によく似た私の半分識別可能な情報をどのように、どのくらいの期間小売りするのか、そして当社の顧客とコミュニティのためのこれらの訓練を重視するポリシーを明らかにします。

ポリシーが最終決定され、公開され、実施される際には、関連する速報についてこのブログを引き続きご覧ください。

最有力候補

現在、一見すると価値のある透明性を示していますが、次は、かつて回答に含まれていた情報の形式と範囲を詳しく説明します。これらの召喚状に対して。

私たちは今でもユーザー名を熱烈に公に、または顧客自身に公開することはできません。

1) 名前 (加入者名、消費者名、ビジュアル ディスプレイ ユニット名とともに);

これらはデータベース情報

で確認されました

クマ id, ユーザー名, タイトル から 顧客ここで ユーザー名  = '{ユーザー名}'; 
 
 
返信: 
 
id |  USERNAME ユーザー名 | の UUID  PyPI ユーザー名 タイトル | 消費者向けラベルタイトル 
さらに、次の場所から一般に簡単にアクセスできます。 https://pypi.org/consumer/{ユーザー名}/.
PyPI では、顧客が自分のアカウントを削除することができます。
PyPI では  ユーザー名が許可されなくなりました フィールドは管理者の介入なしに変更されるべきであり、クイズでは顧客に対してそのような介入は行われていません。
PyPI では消費者が自分の主張名を更新できるようにしています。これらの調整の履歴のファイルは保持されません。
 )2) 住所 (郵送先住所、住居住所、商業住所、および電子メール アドレスを含む);
  PyPI の最も生産性の高いショップの個人顧客用電子メール アドレス。 実際の住所は保存されません。 請求にサインアップしている (現在はサインアップしていないが、存在している) グループ アカウントは、支払い方法を検証する請求書を提示する必要がある可能性があります。
 これらはデータベース情報から取得されたものであり、PyPI には非公開です。
 クマ Eメール ユーザーID from user_emails ) どこ ユーザーID ='{USERNAME の UUID}';  
  返信:
メール |  user_id | を電子メールで処理してください。 ユーザー名の UUID 
 
 
PyPI は顧客が追加およびクラッチすることを許可します管理者の介入なしで電子メール アドレスを削除できます。 これらの調整の記録データは保存されており、クイズ内のユーザー名の情報にはそのような調整は見られませんでした。 彼らがそうするイベント内で、私たちはこれらの調整に関する情報を備えていたでしょう。
  3. 接続情報 
 3a。 ミッション イベント
PyPI はすべての調整情報を保持しますインデックスに関するイニシアチブを開始し、それ以来 2002-11-01 17:11:36 UTC .
これらは当社のデータベースを通じて確認されました情報
 クマ * から ジャーナル どこ から提出された='{ユーザー名}' 現在 by submitted_date ; 
 
返信:
 ID |  「シリアル」タイトルを表す自動増分整数 |  PyPI Mission バージョンのタイトル |  PyPI のモデル 関連アクションの場合はリリース | ミッション/リリースに対して実行されたアクションの説明 submit_date |  ISO-8601 日時 (UTC)  PyPI ユーザー名 submit_from |  IP を大事にしてください 
および  を除く) submitted_by (PyPI ユーザー名)そして submitted_from ) (IP Take Care of) 列は、XMLRPC API 経由で公開され、簡単にアクセスできます。 .
  3b. 個々のイベント 
PyPI は重要な消費者の情報を保持しますアカウントの出現に伴うイベント、電子メールの送信、電子メールによる調整、ログイン、およびログイン障害の処理。 このチェックリストを検索してください
     記録されたイベントの完全なビルドについては、
 これらはデータベース info
 から出典されました。 クマ * から user_events where source_id = '{USERNAME の UUID}' 現在  by 時間 desc; 
 返信:
id | トーナメントの UUID  USERNAME マークの UUID | イベントタグ時間 |  ISO-8601 日時 (UTC) ip_address_string |  IP 追加の処理を行ってください。 トーナメントに関する JSONB メタデータ ip_address_id | 関連する IPAddress オブジェクトの UUID 
 
 
 は非公開ですPyPI.
  4. セッションの時間と期間の記録データ、および一時的に割り当てられたネットワークは、これらの期間に関連する (インターネット プロトコル アドレスによく似た) 処理を行います; 
PyPI はセッション期間を記録しなくなりました。
 
セッション出現 (ログイン) 時間は以前は3b の情報の概要として装備されています。
 
レッスンはアップロード用に作成されなくなりましたが、ミッションのアップロードに関連するログイン イベントが発生しました。 3aの情報の概要として装備されています。
 
 5. サービスの次元(生年月日を含む)および利用されている企業および製品の形態;
 
 PyPI は、消費者アカウントが作成された日付の情報と、何らかの方法 (Web UI またはアップロード用のライン手段) でログインに成功したときの終了時刻の情報を保持します。  
クマ date_joined, 前回のログイン から 顧客どこ ユーザー名 = {ユーザー名} 
 返信:
  •  参加日 |  ISO-8601 日時 (UTC)  ISO-8601 日時 (UTC)
    これらの出典は以下のとおりです。
    利用されるサービスの形式は PyPI にとって「慣習的」であり、作成する機能も含まれます。取り組み、リリース、ダウンロード配布情報。
     6. 携帯電話または機器の番号 (インターネット プロトコルの登録とともに);
    A古い情報からのすべてのユーザー名のすべての IP アドレスの概要が共有されていました。
    これらはデータベース情報から取得されたものであり、非PyPI にパブリック。
      7。 この形式の会社および商品の支払い方法および提供 (クレジット スコア カードまたは当座預金口座番号とともに) および請求先情報;
    PyPI は個人顧客向けに無料で利用でき、そのような支払い情報や請求情報は存在しません。
     8. 指定されたユーザー名
    A によってアップロードされたすべての Python Package deal Index (PyPI) プログラムのデータを記録します。すべてのユーザー名に関連する以前および最近のすべての取り組みのチェックリストが装備されていました。
    これらはデータベース情報から入手したもので、以前のイニシアチブは PyPI には非公開です。
     9.  IP は、指定されたユーザー名
     によってアップロードされた Python Package deal Index (PyPI) プログラムのログを検索します。 )PyPI は、IP アドレスを含むプログラムの検索ログを保持しなくなりました。  Win ログは、CDN によって報告された GeoIP 情報を含むパイプラインによって処理され、最も生産的です。
    これらの情報は、Google BigQuery 公開データセット 次のクエリ: 
    選択する * FROM `bigquery- )public-info .pypi.file_downloads` どこ ミッション IN  ({リスト OF プロジェクト
      名前 から 8})  タイムスタンプ  )> '{質問期間の開始}';  
  •  Ee Durbin は、Python システム ベースのインフラストラクチャ ディレクターです。 彼らは、2013 年以来、PyPI をオンラインで開催し、容易にアクセスでき、利益を得るのに貢献してきました。
    •  ) 
      
    %%item_read_more_button% %

    Artificial intelligence, Ask HN, Show HN, Subpoenaed, Technology, TOP HN Tags:,

    Related Posts