Hace aproximadamente un año, durante aproximadamente dos meses, muchas cuentas de usuarios con direcciones de correo electrónico de acceso no verificadas comenzaron a acumularse.
Todas las direcciones pertenecían a @ yahoo.com. Aparece (no sé a ciencia cierta) algún tipo de Yahoo! La vulnerabilidad de Messenger permitió que algunos hackers se extendieran a muchos sistemas y luego crearan cuentas en nuestro sitio web.
Algunos usuarios hicieron clic en el enlace de activación, aunque el correo electrónico informaba correctamente de no realizar ninguna acción si no solicitaban una cuenta.
Lo único que se podía deducir como útil para los atacantes, era que conocían las contraseñas de las nuevas cuentas y esperaban crear tantas cuentas como fuera posible (de diferentes direcciones IP) con un esfuerzo automático desde diferentes ubicaciones , evitando los captchas u otras protecciones de limitación de velocidad.
Este mismo tipo de ataque se puede usar para suplantar a alguien con acceso elevado a algunos servicios (creo yo).
La única protección que se me ocurre es pedirle al usuario que elija una contraseña después de hacer clic en el enlace de activación de la cuenta, que también realizará el inicio de sesión automático. Para crear una cuenta, solo se le pedirá al usuario su dirección de correo electrónico. No he visto hacer esto en ningún otro lugar, ¿hay un inconveniente de seguridad que me estoy perdiendo?