スマホ中心のサービスなんかだと、とにかく間口を広く最初で躓かないように、メールアドレスが必須でありながら、所有確認無しに関連付けたアカウントを作成できてしまうことが多い。
そういう雑な仕様を突いた待受型の攻撃。確かにがっつり乗っ取られうるけど、対策も簡単。メールアドレスの所有確認をしてから、アカウントを有効化すればいいだけ。

・“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃　米Microsoftなどが指摘：Innovative Tech - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2207/07/news050.html