<div dir="ltr">This is a good catch. I've signed up for OSM-live and didn't even think about this when doing it. Ugh.<div><br></div><div>I don't see how they can steal your money, just your OSM account. Your OSM Account doesn't have access to your Bitcoins or bank account.</div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, Jan 12, 2018 at 4:39 PM Yves <<a href="mailto:yvecai@gmail.com">yvecai@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>There's plenty of 0auth flows around the web. Basic auth should probably be disabled. <br>
Yves <br><br><div class="gmail_quote"></div></div><div><div class="gmail_quote">Le 12 janvier 2018 20:51:27 GMT+01:00, Ivo Stankov <<a href="mailto:ivo@e-stankov.com" target="_blank">ivo@e-stankov.com</a>> a écrit :</div></div><div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><pre class="m_-4703589488400489232k9mail">I agree that such practices should be confronted by the OSMF.<br><br>An OAuth 2.0 flow should be the tool of choice for such usecases.<br><br>Best,<br>Ivo<br><br>On 01/12/2018 02:15 PM, Darafei "Komяpa" Praliaskouski wrote:<br></pre></blockquote></div></div><div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><pre class="m_-4703589488400489232k9mail"><blockquote class="gmail_quote" style="margin:0pt 0pt 1ex 0.8ex;border-left:1px solid #729fcf;padding-left:1ex"> Hi,<br> <br> <a href="https://osmand.net/osm_live" target="_blank">https://osmand.net/osm_live</a> requests user's OSM password and e-mail in<br> exchange of promise of bitcoin payment.<br> <br> There is no way to check that the password is not being collected, with<br> or without knowledge of service authors. At least 1100 accounts may be<br> affected.<br> <br> Simplest attack vector may be "if password matches on google drive of<br> this e-mail and there's a backup of wallet there and password matches<br> there too, get all the money from there".<br> <br> What can be done on <a href="http://osm.org" target="_blank">osm.org</a> <<a href="http://osm.org" target="_blank">http://osm.org</a>> side to mitigate it?<br> Can password reset be forced for affected users, and for those who keep<br> coming to that form?<br> <br> <br><hr><br> osmf-talk mailing list<br> <a href="mailto:osmf-talk@openstreetmap.org" target="_blank">osmf-talk@openstreetmap.org</a><br> <a href="https://lists.openstreetmap.org/listinfo/osmf-talk" target="_blank">https://lists.openstreetmap.org/listinfo/osmf-talk</a><br> <br></blockquote></pre></blockquote></div></div><div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><pre class="m_-4703589488400489232k9mail"><br><hr><br>osmf-talk mailing list<br><a href="mailto:osmf-talk@openstreetmap.org" target="_blank">osmf-talk@openstreetmap.org</a><br><a href="https://lists.openstreetmap.org/listinfo/osmf-talk" target="_blank">https://lists.openstreetmap.org/listinfo/osmf-talk</a><br></pre></blockquote></div></div><div><br>
Yves</div>_______________________________________________<br>
osmf-talk mailing list<br>
<a href="mailto:osmf-talk@openstreetmap.org" target="_blank">osmf-talk@openstreetmap.org</a><br>
<a href="https://lists.openstreetmap.org/listinfo/osmf-talk" rel="noreferrer" target="_blank">https://lists.openstreetmap.org/listinfo/osmf-talk</a><br>
</blockquote></div>