Paket-Registry PyPI: US-Behörden verlangten Herausgabe von Nutzerdaten
Das US-Justizministerium verlangte die Herausgabe umfangreicher Daten zu fĂĽnf PyPI-Usern. Die Registry-Betreiber ĂĽberarbeiten nun ihre Datenschutzvorgaben.
Die Python Software Foundation (PSF), die unter anderem die Python-Registry PyPI betreibt, hat im März und April von den Justizbehörden der USA drei Subpoenas erhalten. Letztere sind rechtliche Anordnungen unter Strafandrohung zur Herausgabe von Informationen. Konkret forderte die Behörde die Foundation auf, die Daten von fünf PyPI-Usern herauszugeben.
Offenbar erfolgten die Anordnungen ohne Angabe der Gründe beziehungsweise der rechtlichen Umstände. Auch wenn für die PSF nach eigenen Angaben der Schutz der Privatsphäre ihrer User äußerst wichtig ist und sie die Daten vor Offenlegung schützen möchte, hat sie auf Anraten eines Anwalts entschieden, dass es keinen anderen Weg gab, als die Daten zur Verfügung zu stellen.
Umfangreiche Datenanfrage
Die Behörden verlangten unter anderem die Herausgabe der Namen, E-Mail-, Wohn- und Geschäftsadressen, Telefonnummern und IP-Adressen sowie Zahlungsmittel wie Kreditkarten- und Kontonummern. Außerdem fragten sie die Verbindungsaufzeichnungen und die Records aller PyPI-Pakete an, die die betroffenen User hochgeladen haben. Zu allen betroffenen Packages forderten sie schließlich die IP-Download-Protokolle an.
Die Python Software Foundation hat viele Daten nicht gespeichert und konnte daher auch nicht alle angefragten Informationen herausgeben. Unter anderem gibt es für PyPI keine Informationen zur Postanschrift. Auch die Länge von Sessions speichert das System nicht. Da Einzelanwender die Registry kostenfrei nutzen können, existieren keine gespeicherten Kreditkarten- oder Bankdaten. Download-Logs mit zugehörigen individuellen IP-Adressen existieren ebenfalls nicht.
Der Blogbeitrag zu dem Vorgang listet im Detail auf, welche Daten die PSF in welcher Form speichert und entsprechend herausgegeben hat. Die betroffenen User-Namen gibt sie allerdings explizit weder öffentlich noch gegenüber den Betroffenen bekannt.
Aufhänger für Datenschutzüberlegungen
Die Foundation hat den Vorgang als Aufhänger genommen, ihre Datenschutzstandards zu überdenken, die wohl derzeit minimal sind. Im Blog der PSF heißt es: "Obwohl wir nur sehr wenige persönliche Daten der PyPI-User sammeln, sind alle unnötigerweise gespeicherten Daten weiterhin Gegenstand solcher Anfragen". Obendrein bestehe zusätzlich das Risiko kompromittierter Daten durch Bedienfehler oder böswilliges Handeln.
Die PSF erarbeitet derzeit wohl neue Richtlinien bezĂĽglich der Speicherung und Weitergabe von Daten. Dabei geht es unter anderem darum, wie und ĂĽber welchen Zeitraum die Foundation Daten wie Informationen zum Identifizieren von Usern und Zugriffsprotokolle speichert. Die Richtlinien sollen die Stiftung auf kĂĽnftige staatliche Forderungen vorbereiten.
Auf Paketmanagern und -Registries wie PyPI findet sich immer wieder Schadcode. Beispielsweise versuchen die Pakete Kryptowährung zu stehlen. Andere Angriffe greifen gezielt die Supply Chain bekannter Projekte wie PyTorch an. Inzwischen nimmt die Verbreitung ein derart großes Ausmaß an, dass die PSF Mitte Mai die Aufnahme neuer Projekte und User kurzzeitig verweigert hat, weil sie schlicht nicht hinterherkam, die schädlichen Pakete herauszufiltern.
(rme)