Недавно у нас было три учётные записи пользователей TL1, которые, очевидно, были взломаны/скомпрометированы/захвачены — скорее всего, из-за утечки пароля. Злоумышленник изменил (и удалил!) старые адреса электронной почты, а затем начал рассылать спам.
Что может сделать администратор в такой ситуации? Есть ли способ восстановить старый адрес электронной почты, чтобы уведомить пользователя? Отправляет ли Discourse уведомления о таких событиях на адрес, который удаляется?
В итоге мы просто приостановили эти учётные записи. Но мне интересно, не упускаю ли я какие-то инструменты администратора или как другие решали эту проблему.
Я только что проверил: старая электронная почта получила уведомление.
Это автоматическое сообщение, чтобы сообщить вам, что ваш адрес электронной почты для
%{site_name} был изменён. Если это было сделано по ошибке, пожалуйста, свяжитесь
с администратором сайта.
Ваш адрес электронной почты изменён на:
%{new_email}
Вы можете проверить логи электронной почты в разделе /admin/email-logs. Если отфильтровать по имени пользователя, вы увидите как письмо с подтверждением, отправленное на новый адрес, так и уведомление, отправленное на старый адрес.
В качестве меры предосторожности, возможно, стоит подумать о включении двухфакторной аутентификации (2FA) для всех. Для сотрудников это, безусловно, хорошая идея. Также имеет смысл рекомендовать пользователям менеджеры паролей — в наши дни люди должны использовать менеджеры паролей в сочетании со сложными паролями.
Если в уведомительном письме будет ссылка для аутентификации, которая не завершит удаление старого адреса, пока на неё не нажмут, это может помочь, если только учётные записи электронной почты не скомпрометированы.
Приостановка аккаунта кажется хорошим первым шагом, а также отправка ручного письма на старый адрес, чтобы уведомить пользователя и убедиться, что вы общаетесь с законным владельцем аккаунта, а не со спамером, прежде чем снять приостановку (после удаления нового поддельного адреса электронной почты).
Мне самому не приходилось сталкиваться с такой ситуацией, надеюсь, появятся более полезные советы. Если почтовый клиент скомпрометирован, возможно, ничего нельзя сделать, пока это не будет исправлено, если у вас нет другого способа связаться с владельцами аккаунтов. Вы можете опубликовать публичные сообщения на своём сайте, предупреждая участников о происходящем.
Это возможно. Для учётных записей сотрудников это уже работает таким образом, но есть настройка, позволяющая включить это для всех. Однако это также означает, что пользователи, утратившие доступ к своему адресу электронной почты, больше не смогут изменить его самостоятельно.
Понятно, почему это не должно быть настройкой по умолчанию для всех: это может раздражать, если обычный пользователь потерял доступ к своей предыдущей электронной почте и вынужден открывать тикет в службу поддержки, чтобы это исправить.
Другой, чуть менее безопасный вариант — просто отправлять уведомление по электронной почте с сообщением: «Если вы внесли это изменение, никаких действий не требуется; если вы не узнаёте это действие, перейдите по ссылке, чтобы сообщить о несанкционированном доступе». Не уверен, что эта функция встроена в Discourse, но, возможно, её можно реализовать с помощью плагина или чего-то подобного.
Да, действительно, это неплохой шаблон, который вы уже публиковали ранее.
Это, вероятно, хорошая идея: повторять предупреждение несколько раз полезно для важных уведомлений/сигналов.
Формулировка кажется несколько необычной для такого рода уведомлений; неясно, когда и может ли смена адреса электронной почты считаться «ошибкой». В зависимости от степени подозрительности изменения в уведомлении можно повысить срочность, например: Уведомление о подозрительной смене адреса электронной почты!!! Пожалуйста, свяжитесь с нами немедленно, если вы не совершали это действие! Также могут быть полезны уведомления по телефону и/или автоматическая временная блокировка учётной записи, если администраторы хотят проявить максимум предусмотрительности.
