Abbiamo un'app in cui un utente può invitare un collega a collaborare. Ciò avviene tramite un semplice modulo con un campo di testo in cui è necessario inserire l'email del collega e premere "invia invito". Oggi abbiamo notato che c'è un bot che "abusa" di questo meccanismo: aggiunge inviti, rimuove inviti, invia inviti in un pattern apparentemente casuale (la sessione è durata circa 30 minuti).
Stavo pensando a perché sta succedendo questo evento e quale beneficio si potrebbe ottenere da tali azioni? Mi vengono in mente solo due cose:
- Qualcuno sta cercando di hackerare / trovare un exploit in modo automatico.
- Qualcuno sta cercando di inviare spam ad altri con i nostri inviti (o si sta preparando per questo e sta facendo ricerche).
A partire da ora l'unica cosa che abbiamo pensato è di aggiungere un limitatore di velocità per il nostro meccanismo di invito (ad esempio, inviare 3 inviti al minuto max o simili).
Qualcuno sa se la situazione di cui sopra è qualcosa di normale? Qual è lo scopo del bot? Esistono alcune best practice per i meccanismi di invito o in generale per tali situazioni di bot? Quali azioni da parte nostra sono appropriate al momento?