كان المهاجمون قادرين بالفعل على القيام بذلك بمجرد تسجيل حسابات جديدة. إذا كان المهاجم يعرف 100,000 عنوان بريد إلكتروني، فيمكنه تسجيل 100,000 حساب، وسيرسل Discourse إلى كل واحد منهم بريدًا إلكترونيًا للتنشيط، والذي يمكن لكل مستخدم الإبلاغ عنه كرسائل غير مرغوب فيها.
إن إرسال رسائل “لا يمكن إعادة تعيين كلمة المرور، حسابك غير موجود” إلى عناوين البريد الإلكتروني للحسابات غير الموجودة لا يجعل هذا الهجوم أسهل أو أصعب.
هذا الهجوم ليس مشكلة لمعظم المواقع، ولكن إذا كنت قلقًا بشأنه، فيجب عليك استخدام إضافة Discourse hCaptcha، مما يزيد التكلفة على المهاجم. (لا يستخدم Meta؛ معظم المنتديات التي يستضيفها Discourse لا تستخدمها.)
أعتقد أنه إذا قبل Discourse اقتراحي لبدء إرسال رسائل “لا يمكن إعادة تعيين كلمة المرور، حسابك غير موجود” إلى عناوين البريد الإلكتروني للحسابات غير الموجودة، فسيكون من المنطقي أن تعمل إضافة hCaptcha على نموذج إعادة تعيين كلمة المرور بالإضافة إلى نموذج التسجيل. (ما زلت لن أحتاج/أستخدم hCaptcha بنفسي.)