Recibí aleatoriamente un correo electrónico de Discourse indicando que alguien solicitó restablecer mi contraseña. Estaba viendo una película cuando llegó ese correo, fue aterrador. Inmediatamente cambié mi contraseña y mi clave de autenticación.
¿Podría alguien investigar esto? Tengo miedo.
Probablemente no haya nada de qué preocuparse. Discourse enviará ese mensaje a la dirección de correo electrónico de un usuario si alguien hace clic en el enlace “Olvidé mi contraseña” en el formulario de inicio de sesión de registro y escribe la dirección de correo electrónico del usuario en el formulario:
No hay nada que impida que nadie introduzca ninguna dirección de correo electrónico en el formulario. Esta es la práctica estándar para gestionar las contraseñas olvidadas en la web. La característica de seguridad que se incluye en esto es que el correo electrónico de restablecimiento de contraseña solo se envía a la dirección de correo electrónico que se introduce en el formulario, por lo que, a menos que la persona que activó el correo electrónico también tenga acceso a la bandeja de entrada del correo electrónico, no podrá acceder al sitio.
Sin embargo, podría considerar habilitar la autenticación de dos factores en su cuenta de Discourse. Eso le dará una capa adicional de seguridad en el caso de que alguien tuviera acceso a su cuenta de correo electrónico. Puede habilitar la autenticación de dos factores desde la página de Seguridad de su cuenta de Discourse. Si tiene algún problema para configurarla, puede obtener ayuda aquí.
Es poco probable que necesite ponerse en contacto con HackerOne sobre el problema. HackerOne está destinado a personas que han descubierto una explotación repetible en Discourse. Creo que lo que está experimentando es la funcionalidad esperada del formulario “Olvidé mi contraseña”.
Editar: ¿es usted administrador del sitio? Si es así, es posible que su dirección de correo electrónico esté configurada en el ajuste nombre de usuario de contacto del sitio. Esa dirección de correo electrónico se muestra en la página Acerca de del sitio. Sería fácil que alguien la obtuviera de allí. Lo ideal sería que todo el personal del sitio habilitara la autenticación de dos factores en sus cuentas de Discourse.
¡Gracias por la pronta respuesta y creo que tienes razón!
No tengo ningún registro, solo la página de inicio de sesión. Justo encima de la página de inicio de sesión hay un breve mensaje que muestra mi dirección de correo electrónico para contactarme y creo que alguien simplemente usó esa dirección de correo electrónico para crear un enlace de “olvidé mi contraseña”. ¡Eso es inteligente! He cambiado la dirección de correo electrónico y ya no está conectada a ninguna cuenta.
¡¡Muchas gracias!! Cuando esto sucedió, en una fracción de segundo, vi tantas variaciones, tratando de trabajar en todos los resultados posibles.
La autenticación de dos factores está activada desde el principio.
Bueno, fue una falsa alarma, lo cual me alegra decir y, en el fondo de mi corazón, me gustaría apreciar la increíble plataforma que ha creado Discourse. ¡¡Estoy muy feliz de usarla!! 
Esos correos electrónicos siempre me asustan un poco, así que lo entiendo.
En realidad, hubo un error tipográfico en mi respuesta. El enlace “olvidé mi contraseña” está en el modal de inicio de sesión, no en el modal de registro, por lo que es probable que todo lo que hicieron fue hacer clic en ese enlace y acceder al formulario.
¡Eso es genial!
Técnicamente, no creo que alguien necesite saber el correo electrónico de una cuenta para solicitar el restablecimiento de la contraseña, solo el nombre de usuario.
Si el nombre de usuario es público, cualquiera podría escribirlo en el formulario de “olvidé mi contraseña” y se enviaría un correo electrónico como este.
No hay riesgo de seguridad siempre que las bandejas de entrada de correo electrónico sean seguras.
Entiendo que para alguien esto podría salvarle la vida, pero al mismo tiempo podría causarle un ataque al corazón.
¿Hay alguna forma de desactivarlo para el nombre de usuario?
¿También hay algún paso que recomiendes para eso?
No uses servicios de correo electrónico gratuitos y sospechosos, excluyendo Gmail y Hotmail, pero incluyendo mail.ru, alibaba, etc. Y usa contraseñas seguras además de VPN cuando uses wifi gratuito o poco fiable. Medidas de seguridad normales.
Pero esto no tiene nada que ver con Discourse, sin embargo.
Soy un usuario de Apple y estoy suscrito a iCloud Plus, que ofrece Private Relay (básicamente una VPN).
Sí, estoy usando una contraseña extremadamente fuerte y larga sugerida y guardada en los llaveros de iCloud.
¿Sería suficiente?
Puedes usar la configuración de administrador hide email address taken (ocultar dirección de correo electrónico ya utilizada), que requeriría el correo electrónico completo para las solicitudes de restablecimiento de contraseña:
El consejo sobre cómo crear una contraseña para tu cuenta de correo electrónico estaría fuera del alcance de este foro, aunque estoy seguro de que encontrarás buenos recursos ofrecidos por tu proveedor de correo electrónico para ello. 
Como Jakke mencionó, depende de tu servicio de correo electrónico; iCloud probablemente sea bastante seguro, pero no soy un experto en eso.
A menudo existe la opción de autenticación de dos factores, lo que significa que necesitas tanto una contraseña como una clave de seguridad física para iniciar sesión, o un código de autenticación generado por una aplicación de autenticación.
Creo que el mensaje dice que si no solicitaste el mensaje, no hay nada de qué preocuparse. ¿Correcto?
Para restablecer la contraseña aquí en Meta, el correo electrónico dice:
«Alguien solicitó restablecer tu contraseña. Si no fuiste tú, puedes ignorar este correo electrónico sin problemas».
Probablemente esto se pueda personalizar para decir algo diferente para diferentes sitios.
Con la opción de restablecimiento de contraseña, también dice que te pongas en contacto con el personal de Discourse si alguien ha perdido el acceso al correo electrónico, no sé cuál es su proceso para eso.
El administrador puede cambiar (casi) todos los textos aquí. Simplemente ve a admin > personalizar > texto.
Incluso ese texto es bastante general, funciona para (casi) todos los foros — simplemente porque las cosas son así, solicitar una nueva contraseña no supone ningún riesgo de seguridad. Puede ser un poco molesto si ocurre con bastante frecuencia (como ocurrió en Instagram hace un tiempo).
¡Esto fue útil, gracias!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
