Abbiamo recentemente avuto tre account utente TL1 che sono stati palesemente hackerati/compromessi/presi il controllo — probabilmente tramite una password compromessa. L’attaccante ha modificato (e cancellato!) i vecchi indirizzi email, e poi ha pubblicato spam.
Cosa può fare un amministratore in questa situazione? C’è un modo per recuperare il vecchio indirizzo email in modo da poter avvisare l’utente? Discourse invia email a un indirizzo che viene distrutto, avvisando l’utente dell’accaduto?
Alla fine abbiamo semplicemente sospeso i loro account. Ma sono curioso di sapere se ci sono strumenti di amministrazione che mi mancano o come altri hanno affrontato questo problema.
L’ho appena provato: il vecchio indirizzo email è stato notificato.
Questo è un messaggio automatico per informarti che il tuo indirizzo email per
%{site_name} è stato modificato. Se ciò è avvenuto per errore, contatta
un amministratore del sito.
Il tuo indirizzo email è stato modificato in:
%{new_email}
Puoi controllare i log delle email in /admin/email-logs. Se filtri per nome utente, dovresti vedere sia l’email di conferma inviata al nuovo indirizzo sia la notifica inviata al vecchio indirizzo.
Come misura preventiva, forse si potrebbe pensare di abilitare l’autenticazione a due fattori per tutti? Per il personale, di sicuro, penso che sarebbe una buona idea.
Se l’e-mail di notifica può includere un link di autenticazione che non completerà l’eliminazione della vecchia e-mail a meno che il link non venga cliccato, ciò potrebbe aiutare, a meno che anche i loro account e-mail non siano compromessi.
Sospendere l’account sembra un buon primo passo, e inviare un’e-mail manuale al vecchio indirizzo per informare l’utente e assicurarsi che si stia parlando con un titolare di account legittimo e non con uno spammer prima di revocare la sospensione dell’account (dopo aver rimosso la nuova e-mail impostore).
Non ho dovuto affrontare questa situazione personalmente, spero che vengano pubblicati altri consigli utili. Se il loro client di posta elettronica è stato compromesso, potrebbe non esserci nulla che tu possa fare finché/se la situazione non si risolverà, a meno che tu non abbia altri modi per comunicare con i titolari di account. Potresti fare post pubblici sul tuo sito avvertendo i membri di ciò che sta accadendo.
È possibile. Funziona già in quel modo per gli account del personale, ma c’è un’impostazione per abilitarla per tutti. Ma significa anche che gli utenti che perdono l’accesso al proprio indirizzo e-mail non possono più modificarlo da soli
Ha senso che non sia un’impostazione predefinita per tutti, può essere fastidioso se un utente normale perde l’accesso all’e-mail precedente e poi deve aprire un ticket di supporto per correggerlo.
L’altro sistema, leggermente meno sicuro, consiste nell’avere semplicemente un’e-mail di notifica con un avviso che dice: “Se hai apportato questa modifica, non è richiesta alcuna azione, ma se non riconosci questa azione fai clic sul link per segnalare l’accesso non autorizzato”. Non sono sicuro se si tratti di una funzionalità integrata con discourse o se possa essere implementata con un plugin o qualcos’altro.
Sì, in effetti, quello è un buon modello che avevi già pubblicato in precedenza.
Questa è probabilmente una buona idea, essere ricorrente alcune volte può essere utile per avvisi/allarmi importanti.
Questa sembra una formulazione un po’ insolita per questo tipo di avviso, non sono sicuro quando/se la modifica dell’email sarebbe un “errore”. A seconda del livello di sospetto della modifica, un maggiore senso di urgenza nell’avviso può essere utile, come “**Avviso di modifica email sospetta!!!** Contattaci subito se non riconosci questa modifica!” Anche gli avvisi telefonici possono essere utili e/o la sospensione temporanea automatizzata dell’account se gli amministratori vogliono essere super fantasiosi.
