Spam de \"system\"

En nuestra instancia de Discourse, la cuenta “system” ha comenzado a enviar spam al foro y a la lista de correo electrónico. Ha ocurrido tres veces en los últimos cinco días.

No hay ningún usuario responsable de “system”, nadie ha iniciado sesión como administrador con ese nombre de usuario y no hay superficies de ataque obvias en el panel de administración.

Mi mejor suposición es que alguien está explotando el servidor de Discourse. Así que vine aquí pensando que alguien habría visto esto antes, pero estoy perdido.

¿Alguna idea?

¿Cómo se ve este spam?

Es difícil pensar en cómo podría suceder eso.

Dos cosas:

1. «Cumplimiento de W-8BEN».
2. Spam de envío chino (?).

Esto acaba de aparecer después de que el «sistema» hubiera estado en silencio durante seis años.

Captura de pantalla 2025-10-21 a las 15:08:242218×1498 399 KB

¿Tienes alguna clave de API activa?

No lo hacemos.

(Lo revisé con un LLM, y esa fue una de sus sugerencias).

¿/u/system/preferences/security muestra algún navegador reciente?

Creo que recuerdo haber leído otro tema en el que alguien informaba de publicaciones de spam que habían sido creadas por el sistema. Pero ya no lo encuentro. Creo que el tema fue eliminado.

No, /u/system/preferences/security no muestra ningún navegador reciente (¿“dispositivos usados recientemente”, verdad?).

Parece que esto fue causado por un cambio incorrecto de nuestra parte. Los sitios que tienen ambas opciones:

• Usuarios en etapa deshabilitados
• Permitir correos electrónicos entrantes

Recibirán correos electrónicos entrantes bajo el usuario del sistema.

El equipo responsable está trabajando en una solución.