Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета Разработчики репозитория Python-пакетов PyPI опубликовали план перехода на обязательную двухфакторную аутентификацию для пакетов, входящих в категорию критически важных. Двухфакторная аутентификация будет применена примерно для 3500 пакетов. В отличие от перехода на двухфакторную аутентификацию проектов RubyGems, NPM и GitHub, в PyPI будет изначально внедрена схема, подразумевающая желательное использование аппаратного токена с ключами доступа. Инициатива не обошлась без инцидента. Автор пакета Atomicwrites, насчитывающего 6 млн загрузок в месяц и 38 млн за 6 месяцев, не пожелал переходить на двухфакторную аутентификацию. Для исключения своего пакета из списка критически важных он попытался сбросить счётчик загрузок. Для сброса он вначале удалил пакет, а потом загрузил новую версию. Ожидалось, что подобная манипуляция лишь сбросит счётчик, но к удивлению разработчика из репозитория были удалены и все старые версии, что привело к проблемам у зависимых от библиотеки проектов, которые некоторые разработчики сравнили с инцидентом в результате удаления пакета left-pad в NPM. Проблема усугубилась тем, что после удаления автор atomicwrites не смог загрузить старые версии, восстановить которые удалось лишь на следующий день после вмешательства администраторов PyPI. После произошедшего автор пакета принял решение прекратить разработку atomicwrites и перевести пакет в разряд устаревших. В качестве причины упоминается то, что он развивает проект как хобби в свободное время и появление дополнительных требований, усложняющих работу, не стоят времени, затрачиваемого на бесплатное сопровождение пакета с такой популярностью. Автор atomicwrites утверждает, что он бы предпочёл просто писать код для развлечения, а заботы о дополнительной защите от захвата злоумышленниками можно взвалить на себя когда за это платят.