【要約】Bots flooded my anti-bot startup with 55,000 fake signups [Hacker_News] | Summary by TechDistill
> Source: Hacker_News
Execute Primary Source
// Discussion Topic
アンチボット・スタートアップが、5.5万件もの偽アカウント登録攻撃を受けた。議論は、攻撃の真の目的とインフラへの影響に集中している。
- ・トルコのオンラインカジノを謳うスパムによる大量登録。
- ・大量の検証メール送信に伴う、送信ドメインのブラックリスト入りリスク。
- ・登録に使用されたアドレスが、実在する漏洩リストである可能性。
// Community Consensus
攻撃者は、サービスの開発者ではなく、第三者へのスパム配信を狙っているとの見解が示されている。
- ・サインアップ機能は、攻撃者にとって極めて価値の高い標的である。
- ・使用されたアドレスは、QQなどのIDから生成された実在のアドレスである疑いがある。
- ・攻撃の真の目的は、正規のメールサーバーをスパム配信の踏み台にすることにある。
// Alternative Solutions
特になし
// Technical Terms
Senior Engineer Insight
> 本件の本質は、DBの汚染よりも、メール送信ドメインの信頼性喪失という実害にある。大量のバウンスは、即座にブラックリスト入りを招く。これにより、正規の通知メールが届かなくなる。サインアップ設計には、レートリミットとメール送信検証の併用が不可欠だ。