Trong khi việc triển khai giám sát hết hạn tên miền gần đây của PyPI đại diện cho một bước tiến đáng kể trong việc ngăn chặn các cuộc tấn công chuỗi cung ứng, các cuộc thảo luận cộng đồng đã tiết lộ một lỗ hổng bảo mật đáng lo ngại không kém ảnh hưởng đến hàng triệu người dùng trên toàn thế giới: việc tái sử dụng tài khoản email của các nhà cung cấp lớn.
Thống kê Bảo mật PyPI (Tháng 6 năm 2025)
- Hơn 1.800 địa chỉ email chưa được xác minh do tên miền hết hạn
- 30 ngày là khoảng thời gian giám sát để kiểm tra trạng thái tên miền
- Kiểm tra tự động hàng ngày được triển khai từ tháng 4 năm 2025
- Bắt buộc 2FA cho tất cả tài khoản có hoạt động sau ngày 1 tháng 1 năm 2024
Mối Đe Dọa Ẩn Giấu Từ Địa Chỉ Email Được Tái Sử Dụng
Cuộc trò chuyện xoay quanh bảo vệ khôi phục tên miền của PyPI đã làm lộ ra một vấn đề rộng lớn hơn với các hệ thống xác thực dựa trên email. Khi người dùng từ bỏ tài khoản email với các nhà cung cấp lớn như Hotmail của Microsoft hoặc các dịch vụ khác, những địa chỉ này không đơn giản biến mất mãi mãi. Không giống như chính sách của Google là không bao giờ tái sử dụng địa chỉ Gmail , nhiều nhà cung cấp email cuối cùng sẽ cung cấp các tài khoản không hoạt động cho đăng ký mới.
Điều này tạo ra một tình huống nguy hiểm khi ai đó có thể đăng ký một địa chỉ email đã được sử dụng trước đó và có khả năng truy cập vào bất kỳ tài khoản trực tuyến nào được liên kết với nó thông qua cơ chế đặt lại mật khẩu. Những tác động này mở rộng xa hơn các kho lưu trữ gói đến hầu như mọi dịch vụ trực tuyến dựa vào xác minh email.
Chính Sách Tài Khoản Nhà Cung Cấp Email
| Nhà cung cấp | Chính sách tái sử dụng tài khoản | Tính năng bảo mật |
|---|---|---|
| Google Gmail | Không bao giờ tái sử dụng tên người dùng | Bảo lưu tên người dùng vĩnh viễn |
| Microsoft Hotmail | Tái sử dụng tài khoản không hoạt động | Thời gian lưu giữ thay đổi |
| Các nhà cung cấp khác | Chính sách rất đa dạng | Thường không tiết lộ thời gian cụ thể |
Tác Động Thực Tế Đối Với Người Dùng
Các thành viên cộng đồng đã chia sẻ những trải nghiệm đáng lo ngại với lỗ hổng này. Một người dùng phát hiện tài khoản Hotmail mười năm tuổi của họ đã bị Microsoft xóa và sau đó được đăng ký bởi người khác, trao cho người đó khả năng truy cập tiềm tàng vào mọi trang web họ từng đăng ký bằng địa chỉ email đó.
Tôi ước Microsoft đã làm điều này với Hotmail đã bị xóa của tôi, thay vào đó một người ngẫu nhiên nào đó đã có được email của tôi, và có khả năng truy cập vào mọi trang web tôi từng đăng ký với email đó...
Tình huống trở nên đặc biệt có vấn đề đối với những người dùng dựa vào địa chỉ email tên miền tùy chỉnh hoặc các nhà cung cấp email nhỏ hơn có thể có chính sách ít nghiêm ngặt hơn về việc tái sử dụng tài khoản.
Thách Thức Kỹ Thuật Và Hạn Chế
Phương pháp giám sát hết hạn tên miền, mặc dù hiệu quả đối với các tên miền tùy chỉnh, không giải quyết được hệ sinh thái rộng lớn hơn của các rủi ro bảo mật email. Các nhà đăng ký tên miền khác nhau và tên miền cụ thể theo quốc gia tuân theo các chính sách hết hạn khác nhau, khiến việc bảo vệ toàn diện trở nên thách thức. Ví dụ, tên miền .eu có thời gian hết hạn 45 ngày so với 30 ngày tiêu chuẩn cho hầu hết các tên miền toàn cầu.
Ngoài ra, một số tên miền quốc gia như .de không hiển thị ngày đăng ký trong hồ sơ WHOIS của họ, khiến việc phát hiện xem một tên miền có bị bỏ và đăng ký lại bởi một bên khác hay không trở nên không thể.
So sánh Thời gian Hết hạn Tên miền
| Loại Tên miền | Thời gian Gia hạn | Cơ quan Chính sách |
|---|---|---|
| .com/.org/.net | 30 ngày | ICANN ERRP |
| Tên miền .eu | 45 ngày | EURid |
| Tên miền .de | Thay đổi | DENIC (không có ngày đăng ký WHOIS ) |
| Tên miền quốc gia (ccTLDs) | Thay đổi theo từng quốc gia | Các cơ quan đăng ký riêng lẻ |
Bảo Vệ Chống Lại Các Lỗ Hổng Dựa Trên Email
Các chuyên gia bảo mật khuyến nghị một số chiến lược để giảm thiểu những rủi ro này. Người dùng nên duy trì nhiều địa chỉ email đã xác minh từ các nhà cung cấp khác nhau, tốt nhất là bao gồm một địa chỉ từ nhà cung cấp lớn có chính sách lưu giữ tài khoản mạnh mẽ. Kích hoạt xác thực hai yếu tố trên tất cả tài khoản cung cấp một lớp bảo mật bổ sung khiến các cuộc tấn công dựa trên email trở nên khó khăn hơn đáng kể.
Đối với các tài khoản quan trọng, kiểm toán bảo mật thường xuyên nên bao gồm việc xem xét những địa chỉ email nào được liên kết với các dịch vụ quan trọng và cập nhật chúng nếu chính sách của nhà cung cấp email gốc đã thay đổi hoặc nếu có bất kỳ nghi ngờ nào về bảo mật tài khoản.
Cuộc thảo luận làm nổi bật mức độ kết nối của danh tính kỹ thuật số của chúng ta và những tác động bảo mật theo chuỗi khi bất kỳ thành phần đơn lẻ nào trong chuỗi xác thực bị xâm phạm. Trong khi cách tiếp cận chủ động của PyPI giải quyết các lỗ hổng cấp tên miền, thách thức rộng lớn hơn của bảo mật xác thực dựa trên email vẫn là mối quan tâm liên tục cho toàn bộ hệ sinh thái internet.
Tham khảo: Preventing Domain Resurrection Attacks