Bug #598
Mis à jour par ggallais il y a environ un mois
*Reconstitution Reconstitution des faits :* : 17 oct 2025 : possible premier pic d'inscription spam (voir PJ) 21 oct 2025 : pic d'inscription spam (voir PJ) 21 oct 2025 : Élodie se plaint sur Slack qu'on reçoit des faux messages de NL 22 oct 2025 : Patrice installe WP Armour HoneyPot (à 3.23pm), ça ne suffit pas 24 oct 2025 : Patrice supprime le widget d'inscription à la NL du footer (à 1.50 am) et purge le cache home 24 oct 2025 : Patrice fait un ticket DSI (toujours dans la nuit) 24 oct 2025 : Réponse de la DSI (8h10). La DSI bloque les adresses gmail vers newsletter@ (19h11) 28 XX oct 2025 : Levée du blocage Patrice demande à 12h15, reprise du spam 29 oct 2025 : On réalise que la DSI de lever le formulaire peut encore être actif dans le cache de bunny blocage / 29 oct 2025 : Patrice purge le cache de bunny (dans l'aprem) 29 oct 2025 : Guillaume réalise que les mails de spam sont dans Brevo *Remarques générales :* * L'objet des mails est toujours "Re: Confirmez votre inscription à la newsletter" * Il y a plusieurs textes différents, parfois en anglais parfois pas * Presque tous les mails sont utilisés plusieurs fois pour écrire du spam * Les spammeurs sont passés par le formulaire d'inscription NL * La page https://www.inserm.fr/inscription-confirmee/ témoigne que les robots on cliqué le mail : ils ont validé le double opt-in * C'est bien des adresses gmail légitimes qui écrivent : c'est de vrais compte gmails de spam A confirmer : * Dans Brevo, les adresses de spam suivent un pattern : elles cliquent tous les liens du mail et pas juste celui de confirmation * Par contre, il y a un décalage temporel entre l'ajout dans Brevo, le moment où le mail est ouvert, et celui où il est cliqué