Правительство США запросило данные пользователей PyPI

Фонд ПО Python (PSF) сообщил о том, что в марте и апреле 2023 года он получил три повестки с требованием предоставить данные пользователей PyPI - репозитория программного обеспечения для языка программирования Python. Все три повестки были выданы Министерством юстиции США без объяснения правовых обстоятельств. Всего были запрошены данные, связанные с пятью именами пользователей PyPI.

Запрошенные данные включали:

• имена, связанные с идентифицированными учетными записями,
• адреса (включая почтовые, электронные, жилые и служебные),
• записи о соединениях,
• записи о времени сеансов и связанные с ними сетевые идентификаторы,
• даты создания учетных записей,
• номера телефонов и IP-адреса, используемые при регистрации,
• способ и источник оплаты,
• загруженные пакеты Python,
• журналы загрузки IP-адресов любых пакетов PyPI, загруженных идентифицированными пользователями.

В фонде подчеркнули, что конфиденциальность пользователей PyPI имеет первостепенное значение и, что они делает все возможное, чтобы не допустить разглашения их данных. Однако в данном случае PSF по совету юристов решил, что единственный вариант действий - предоставить запрошенные данные.

В PSF также сообщили, что сейчас они разрабатывает новые политики хранения и раскрытия данных, чтобы учитывать разнообразные интересы сообщества Python и защитить личные данные от ненужных запросов или компрометации. Новые правила будут ясно изложены для сообщества и будут касаться процедур для будущих запросов данных от правительства, сроков и объемов хранения личных данных.