
<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <div class="moz-cite-prefix">On Google account it is possible to

      activate two step authentication. So that password alone is not

      enough to login. It takes only about 5 minutes to do it. <br>

      It makes sense to do it in any case. We know from the news that

      John Podesta learned it hard way.<br>

      <br>

      I also know personally a case when a Google account with a

      sufficiently complicated password was still somehow logged-in by

      an outsider. <br>

      <br>

      Best regards,<br>

      Oleksiy<br>

      OSM: Alex-7<br>

      <br>

      On 12.01.18 14:15, Darafei "Komяpa" Praliaskouski wrote:<br>

    </div>

    <blockquote type="cite"

cite="mid:CAC8Q8t+LUe53mBirjzsu7UZainS+Z+F2OXzyE4tKAfTk==28UQ@mail.gmail.com">

      <div dir="ltr">

        <div>Hi,<br>

          <br>

          <a href="https://osmand.net/osm_live" moz-do-not-send="true">https://osmand.net/osm_live</a>

          requests user's OSM password and e-mail in exchange of promise

          of bitcoin payment.</div>

        <div><br>

        </div>

        <div>There is no way to check that the password is not being

          collected, with or without knowledge of service authors. At

          least 1100 accounts may be affected.</div>

        <div><br>

        </div>

        <div>Simplest attack vector may be "if password matches on

          google drive of this e-mail and there's a backup of wallet

          there and password matches there too, get all the money from

          there".<br>

          <br>

          What can be done on <a href="http://osm.org"

            moz-do-not-send="true">osm.org</a> side to mitigate it?<br>

          Can password reset be forced for affected users, and for those

          who keep coming to that form?</div>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

osmf-talk mailing list

<a class="moz-txt-link-abbreviated" href="mailto:osmf-talk@openstreetmap.org">osmf-talk@openstreetmap.org</a>

<a class="moz-txt-link-freetext" href="https://lists.openstreetmap.org/listinfo/osmf-talk">https://lists.openstreetmap.org/listinfo/osmf-talk</a>

</pre>

    </blockquote>

    <p><br>

    </p>

  </body>

</html>