<div dir="ltr"><div>Hi,<br><br><a href="https://osmand.net/osm_live">https://osmand.net/osm_live</a> requests user's OSM password and e-mail in exchange of promise of bitcoin payment.</div><div><br></div><div>There is no way to check that the password is not being collected, with or without knowledge of service authors. At least 1100 accounts may be affected.</div><div><br></div><div>Simplest attack vector may be "if password matches on google drive of this e-mail and there's a backup of wallet there and password matches there too, get all the money from there".<br><br>What can be done on <a href="http://osm.org">osm.org</a> side to mitigate it?<br>Can password reset be forced for affected users, and for those who keep coming to that form?</div></div>