Recebi aleatoriamente um e-mail do discourse informando que alguém solicitou a redefinição da minha senha. Eu estava assistindo a um filme quando esse e-mail chegou, foi assustador. Mudei imediatamente minha senha e chave de autenticação.
Alguém poderia verificar isso? Estou assustado.
Provavelmente não há nada com que se preocupar. O Discourse enviará essa mensagem para o endereço de e-mail de um usuário se alguém clicar no link “Esqueci minha senha” no formulário de login de cadastro e inserir o endereço de e-mail do usuário no formulário:
Não há nada que impeça alguém de inserir qualquer endereço de e-mail no formulário. Esta é a prática padrão para lidar com senhas esquecidas na web. O recurso de segurança integrado é que o e-mail de redefinição de senha só é enviado para o endereço de e-mail inserido no formulário, portanto, a menos que a pessoa que acionou o e-mail também tenha acesso à caixa de entrada do e-mail, ela não poderá acessar o site.
Você pode considerar habilitar a autenticação de segundo fator em sua conta do Discourse. Isso lhe dará uma camada extra de segurança na remota possibilidade de alguém ter acesso à sua conta de e-mail. Você pode habilitar a autenticação de dois fatores na página de Segurança da sua conta do Discourse. Se tiver algum problema para configurá-la, você pode obter ajuda aqui.
É improvável que você precise entrar em contato com o HackerOne sobre o problema. O HackerOne destina-se a pessoas que descobriram uma exploração repetível no Discourse. Acho que o que você está lidando é a funcionalidade esperada do formulário “Esqueci minha senha”.
Editar: você é um administrador no site? Se sim, é possível que seu endereço de e-mail esteja definido na configuração nome de usuário de contato do site. Esse endereço de e-mail é exibido na página Sobre do site. Seria fácil para alguém retirá-lo de lá. Idealmente, toda a equipe do site habilitará a autenticação de dois fatores em suas contas do Discourse.
Obrigado pela resposta rápida e acho que você está certo!
Eu não tenho nenhum cadastro, apenas a página de login. Logo acima da página de login, há uma curta mensagem mostrando meu endereço de e-mail para contato e acho que alguém usou esse endereço de e-mail para criar um link de “esqueci minha senha”. Isso é inteligente! Mudei o endereço de e-mail e ele não está mais conectado a nenhuma conta.
Muito obrigado! Quando isso aconteceu, em uma fração de segundo, vi tantas variações, tentando trabalhar em todos os resultados possíveis.
A autenticação de dois fatores está ativada desde o início.
Bem, foi um alarme falso, o que fico feliz em dizer e, do fundo do meu coração, gostaria de apreciar a incrível plataforma que o Discourse construiu. Estou muito feliz em usá-la!! 
Esses tipos de e-mails sempre me assustam um pouco, então eu entendo.
Na verdade, houve um erro de digitação na minha resposta. O link “esqueci minha senha” está no modal de login, não no modal de cadastro, então é provável que tudo o que eles fizeram foi clicar nesse link e acessar o formulário.
Isso é ótimo!
Tecnicamente, não acredito que alguém precise saber o e-mail de uma conta para solicitar a redefinição de senha, apenas o nome de usuário.
Se o nome de usuário for público, qualquer pessoa poderia digitá-lo no formulário de “esqueci a senha” e um e-mail como este seria enviado.
Nenhum risco de segurança, desde que as caixas de entrada de e-mail sejam seguras.
Eu entendo que para algumas pessoas isso pode salvar vidas, mas ao mesmo tempo pode causar um ataque cardíaco.
Existe uma maneira de desativá-lo para o nome de usuário?
Além disso, há alguma medida que você recomendaria para isso?
Não use serviços de e-mail gratuitos e duvidosos, excluindo Gmail e Hotmail, mas incluindo mail.ru, alibaba, etc. E use senhas fortes mais VPN ao usar Wi-Fi gratuito ou não confiável. Medidas de segurança normais.
Mas isso não tem nada a ver com o Discourse, embora.
Sou um usuário Apple e sou assinante do iCloud Plus, que oferece o Private Relay (basicamente uma VPN).
Sim, estou usando uma senha extremamente forte e longa sugerida e guardada nos chaveiros do iCloud.
Isso seria suficiente?
Você pode usar a configuração de administrador hide email address taken (ocultar e-mail já em uso), que exigiria o e-mail completo para solicitações de redefinição de senha:
Aconselhamento sobre como criar uma senha para sua conta de e-mail estaria fora do escopo deste fórum, embora tenha certeza de que você encontrará bons recursos oferecidos pelo seu provedor de e-mail para isso. 
Como Jakke mencionou, depende do seu serviço de e-mail, o iCloud provavelmente é bastante seguro, mas não sou especialista nisso.
Muitas vezes, há uma opção de autenticação de dois fatores, o que significa que você precisa de uma senha e uma chave de segurança física para fazer login, ou um código de autenticação gerado por um aplicativo de autenticação.
Acredito que a mensagem diz que se você não solicitou a mensagem, não há nada com que se preocupar. Certo?
Para redefinição de senha aqui na Meta, o e-mail diz:
Provavelmente isso pode ser personalizado para dizer algo diferente para sites diferentes.
Com a opção de redefinição de senha, também diz para contatar a equipe do Discourse se alguém perdeu o acesso ao e-mail, não sei qual é o processo deles para isso.
O administrador pode alterar (quase) todos os textos aqui. Basta ir em admin > personalizar > texto.
Mesmo esse texto sendo bastante geral, ele funciona para (quase) todos os fóruns — apenas porque as coisas são assim, solicitar uma nova senha não representa nenhum risco de segurança. Pode ser um pouco irritante se acontecer com bastante frequência (como aconteceu no Instagram há um tempo).
Isso foi útil, obrigado!!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
