Nous avons récemment eu trois comptes utilisateur TL1 qui ont manifestement été piratés/compromis/usurpés — probablement par le biais d’un mot de passe compromis. L’attaquant a modifié (et supprimé !) les anciennes adresses e-mail, puis a publié du spam.
Que peut faire un administrateur dans cette situation ? Existe-t-il un moyen de récupérer l’ancien e-mail afin de pouvoir en informer l’utilisateur ? Discourse envoie-t-il des e-mails à une adresse qui est détruite, informant l’utilisateur de l’événement ?
Nous avons fini par suspendre leurs comptes. Mais je suis curieux de savoir s’il existe des outils d’administration qui me manquent ou comment d’autres ont abordé ce problème.
Je viens de l’essayer : l’ancienne adresse e-mail a été notifiée.
Ceci est un message automatisé pour vous informer que votre adresse e-mail pour
%{site_name} a été modifiée. Si cela a été fait par erreur, veuillez contacter
un administrateur du site.
Votre adresse e-mail a été modifiée en :
%{new_email}
Vous pouvez vérifier les journaux d’e-mails dans /admin/email-logs. Si vous filtrez par nom d’utilisateur, vous devriez voir à la fois l’e-mail de confirmation envoyé à la nouvelle adresse et la notification envoyée à l’ancienne adresse.
Si l’e-mail de notification peut inclure un lien d’authentification qui n’achèvera pas la suppression des anciens e-mails à moins que le lien ne soit cliqué, cela pourrait aider, à moins que leurs comptes de messagerie ne soient également compromis.
Suspendre le compte semble être une bonne première étape, et envoyer un e-mail manuel à l’ancienne adresse pour informer l’utilisateur et s’assurer que vous parlez à un titulaire de compte légitime et non à un spammeur avant de lever la suspension du compte (après avoir supprimé le nouvel e-mail imposteur).
Je n’ai pas eu à gérer cette situation moi-même, j’espère que d’autres conseils plus utiles seront publiés. Si leur client de messagerie a été compromis, il se peut que vous ne puissiez rien faire jusqu’à ce que cela soit résolu, à moins que vous n’ayez un autre moyen de communiquer avec les titulaires de compte. Vous pourriez faire des publications publiques sur votre site pour avertir les membres de ce qui se passe.
C’est possible. Cela fonctionne déjà de cette façon pour les comptes du personnel, mais il existe un paramètre pour l’activer pour tout le monde. Mais cela signifie également que les utilisateurs qui perdent l’accès à leur adresse e-mail ne peuvent plus la modifier eux-mêmes.
Cela semble logique de ne pas en faire un paramètre par défaut pour tout le monde, cela peut être ennuyeux si un utilisateur régulier perd l’accès à son e-mail précédent et doit ensuite ouvrir un ticket d’assistance pour corriger cela.
L’autre système, légèrement moins sécurisé, consiste simplement à envoyer un e-mail de notification avec un message indiquant « Si vous avez effectué cette modification, aucune action n’est requise, mais si vous ne reconnaissez pas cette action, cliquez sur le lien pour signaler un accès non autorisé ». Je ne sais pas si c’est une fonctionnalité intégrée à Discourse ou si cela peut être fait avec un plugin ou quelque chose de similaire.
Oui en effet, c’est un modèle décent que vous aviez déjà publié plus tôt.
C’est probablement une bonne idée, qu’il soit récurrent quelques fois peut être bon pour un avertissement/alerte important.
Cela semble être une formulation un peu inhabituelle pour ce type d’alerte, je ne sais pas quand/si un changement d’e-mail serait une « erreur ». Selon le niveau de suspicion du changement, plus d’urgence dans l’alerte peut être bonne, comme « Alerte de changement d’e-mail suspect !!! Veuillez nous contacter immédiatement si cela n’est pas reconnu ! » Les alertes téléphoniques peuvent également être bonnes et/ou la suspension temporaire automatisée du compte si les administrateurs veulent être super sophistiqués.
