Recientemente tuvimos tres cuentas de usuario TL1 que obviamente fueron hackeadas/comprometidas/secuestradas, probablemente a través de una contraseña comprometida. El atacante cambió (¡y eliminó!) las direcciones de correo electrónico antiguas y luego publicó spam.
¿Qué puede hacer un administrador en esta situación? ¿Hay alguna forma de recuperar el correo electrónico antiguo para poder notificar al usuario? ¿Discourse envía correos electrónicos a una dirección que está siendo destruida, notificando al usuario del incidente?
Terminamos simplemente suspendiendo sus cuentas. Pero tengo curiosidad si hay alguna herramienta de administración que me esté perdiendo o cómo otros han abordado este problema.
Lo acabo de probar: se notificó la antigua dirección de correo electrónico.
Este es un mensaje automático para informarle que su dirección de correo electrónico para
%{site_name} ha sido cambiada. Si esto se hizo por error, por favor contacte
a un administrador del sitio.
Su dirección de correo electrónico ha sido cambiada a:
%{new_email}
Puede revisar los registros de correo en /admin/email-logs. Si filtra por nombre de usuario, debería ver tanto el correo de confirmación enviado a la nueva dirección como la notificación enviada a la antigua dirección.
Como medida preventiva, ¿quizás deberíamos considerar habilitar la autenticación de dos factores para todos? Creo que sería una buena idea para todo el personal.
Si el correo electrónico de notificación puede incluir un enlace de autenticación que no completará la eliminación del correo electrónico antiguo a menos que se haga clic en el enlace, eso puede ayudar, a menos que sus cuentas de correo electrónico también estén comprometidas.
Suspender la cuenta parece un buen primer paso, y enviar un correo electrónico manual a la dirección antigua para notificar al usuario y asegurarse de que está hablando con un titular de cuenta legítimo y no con un spammer antes de liberar la suspensión de la cuenta (después de eliminar el nuevo correo electrónico impostor).
Aún no he tenido que lidiar con esta situación, espero que se publiquen consejos más útiles. Si su cliente de correo electrónico ha sido comprometido, es posible que no pueda hacer nada hasta que eso se resuelva, a menos que tenga alguna otra forma de comunicarse con los titulares de las cuentas. Podría hacer publicaciones públicas en su sitio advirtiendo a los miembros sobre lo que está sucediendo.
Eso es posible. Ya funciona de esa manera para las cuentas del personal, pero hay una configuración para habilitar eso para todos. Pero también significa que los usuarios que pierden el acceso a su dirección de correo electrónico ya no pueden cambiarla por sí mismos.
Tiene sentido que no sea una configuración predeterminada para todos, puede ser molesto si un usuario normal pierde el acceso a un correo electrónico anterior y luego necesita abrir un ticket de ayuda para corregirlo.
El otro sistema, ligeramente menos seguro, es simplemente tener un correo electrónico de notificación con un aviso que diga: “Si realizó este cambio, no se requiere ninguna acción, pero si no reconoce esta acción, haga clic en el enlace para informar sobre acceso no autorizado”. No estoy seguro de si esa es una función integrada con Discourse o si se puede hacer con un plugin o algo así.
Sí, de hecho, esa es una plantilla decente que ya habías publicado antes.
Esa es probablemente una buena idea, que sea recurrente unas cuantas veces puede ser bueno para advertencias/alertas importantes.
Esta parece una redacción un tanto inusual para este tipo de alerta, no estoy seguro de cuándo/si el cambio de correo electrónico sería un “error”. Dependiendo del nivel de sospecha del cambio, una mayor urgencia en la alerta puede ser buena, como “¡Alerta de cambio de correo electrónico sospechoso! ¡Contáctanos de inmediato si no lo reconoces!” También las alertas telefónicas pueden ser buenas y/o la suspensión temporal automatizada de la cuenta si los administradores quieren ser súper elegantes.
