Тимур!
Важно, чтобы во время действия, повлекшего такую прозрачную регистрацию — например, при покупке в интернет‑магазине — покупателю уже выдавалась кука, которая позволит его узнавать, даже если он не перейдёт по отправленной ссылке. Тогда, если ссылка уйдёт по почте «злоумышленнику», наш покупатель останется в своём акаунте и сможет поменять почту.
Но что если покупатель поймёт, что ошибся, слишком поздно, и злоумышленник успеет воспользоваться его акаунтом?
В интернет‑магазине злоумышленник сможет узнать, что покупатель купил. Кажется, это не беда. Возможно, сможет отменить заказ — неприятно, но тоже не критично. Если же злоумышленник может воспользоваться деньгами со счёта покупателя, то это уже плохо. Возможно, тут схему нужно скорректировать, например не давать пополнять счёт до подтверждения почты. Естественно, это может несколько снизить работоспособность вашего сайта, поэтому нужно подумать, что хуже — упущенная из‑за этого выгода или затраты на работу по разрешению единичных неприятных ситуаций.