Странный случай: неактивный пользователь со статусом «никогда не входил» каким-то образом имеет загруженную аватарку

Всем привет,

Я столкнулся со странной проблемой на своём форуме Discourse и хотел бы получить ваш совет.

Ситуация:

• Есть пользователь, который никогда не активировал свой email.
• По полю last_seen_at видно, что он никогда не входил в систему.
• Несмотря на это, у пользователя каким-то образом есть загруженная аватарка.

Что я уже исключил:

1. Я не загружал и не устанавливал аватарку для этого пользователя вручную.
2. У меня не включены провайдеры входа через SSO или сторонние сервисы.
3. Gravatar не является причиной, так как для него требуется вход в систему или активный email.
4. В данный момент не установлены необычные плагины, связанные с аватарками.
5. На этом форуме не было массовой импорта пользователей с аватарками.

Вопросы:

1. Как пользователь, который никогда не входил в систему и не активен, мог получить загруженную аватарку?
2. Есть ли известные ошибки или пограничные случаи в Discourse, которые могли бы вызвать это?
3. Какой самый безопасный способ удалить эту аватарку и предотвратить повторение ситуации?

Любая информация будет очень полезна!

Спасибо!

Вы уверены? Мне кажется, мы проверяем только наличие адреса электронной почты, а не вход в систему или подтверждение. Если вы откроете настройки пользователя и попробуете изменить его аватар… что там отобразится? Например, на моём тестовом сайте я вижу аватар Gravatar для аккаунта, который никогда не входил в систему и не подтверждал адрес электронной почты:

image1264×700 55.1 KB

Ах, моя вина — я раньше не использовал Gravatar и предположил, что для него нужна подтверждённая или авторизованная почта. Не знал, что он просто проверяет, зарегистрирован ли адрес в Gravatar. Не ожидал, что случайно введённый email одного из моих пользователей окажется привязанным к аватару в Gravatar! Спасибо, что обратили на это внимание!