Spam über das OSM-Nachrichtensystem?

Man kann auf die Benutzerseite gehen und “Diesen Benutzer melden” anklicken. Wenn der Benutzer schon gelöscht ist, ist einem vermutlich jemand zuvorgekommen.

Scheint ein bisschen eine Seuche zu sein im Moment. :frowning:

Ich vermute mal, das ganze funktioniert so:
Account registrieren
Möglichst viele Spam Mails absetzen
Account wieder löschen

Wenn das so ist, dann haben wir im Registrierprozess möglicherweise eine Schwachstelle.

Das Löschen erfolgt durch die Admins, nicht durch den Benutzer selbst.

Dann sollte vielleicht vor dem Löschen eine Prüfung stattfinden, ob der Benutzer unauffällig war?

Wozu soll das gut sein? Die Admins löschen ja nicht zum Spass, sondern weil sich ein anderer Benutzer über den Spammer beschwert hat. Ein Spammer wird wohl kaum seinen eigenen Account löschen lassen, wenn er in 1 Minute einfach einen neuen anlegen kann.

Ich vermute, dass es viel trivialer ist:
Jmd. bekommt Spam, meldet den Spammer, der wird gelöscht, und alle, die genau dann erst nach dem User schauen, sehen einen gelöschten User.

Nebenbei macht das auch keinen Sinn, dass sich ein Spammer selber löscht. Der setzt so lang Spam ab, bis er gesperrt wird. Vorher wäre Quark, dazu brauchts auch keine Lücke.

Man sollte vielleicht mal drüber nachdenken, ob man bei frisch registrierten Accounts, die Möglichkeit zum Versenden von PNs an andere User einschränkt.
Also PN versenden erst möglich nach Zeitspanne x oder nach dem x Changesets vom neuen User hochgeladen wurden. Ich war am 13.03. übrigens auch betroffen und habe den Account, der mir Spam zu sendete, auch gleich gemeldet. Ironie an:
Wahrscheinlich steckt hinter dem Ganzen eine feministische Hacker-Organisation, welche austesten will, inwiefern der überwiegend männliche, nerdige “OSM-Haufen” für Sexismus empfänglich ist und wo unsere IT-Sicherheitslücken liegen.
Ironie aus.

Wenn ein verdächtiger Nutzer gemeldet wird, wie lange dauert es dann, bis ein Admin (wer sind die eigentlich namentlich?) den Nutzer löscht? Der bekommt doch sicherlich erst mal die Gelegenheit, sich zu dem Vorwurf zu äußern? Also einen Zeitraum von wenigen Stunden (wie in meinem Fall) sehe ich da nicht.
Vielleicht liest hier auch ein Admin mit und könnte unser Problem erklären? Das wäre schön.

Verbieten würde ich das Posten am Anfang nicht, sondern mit einer deutschsprachigen Frage verknüpfen, die ein auswärtiger Spammer nicht so leicht beantworten kann. Z. B. “Was ist sieben und zwölf?” Falls die Antwort 19 sein sollte, statt “neunzehn”, wird das Posten für fünf Minuten gesperrt. Oder “Wer ist der Bundesaußenminister?” Da hinter solchen Accountanlagen meistens große Spamfirmen in Russland oder Indien stecken, wird das für die zum Kostenfaktor, da der kleine Spammer ja 100 Accounts pro Stunde erstellen muss und ein anderer diese dann mit Schund füllt, bis sie wieder gesperrt werden.

Da hat jetzt aber jemand übersehen, dass OSM kein rein deutsches Projekt ist, sondern ein internationales, oder? :smiley:

Bei mir ist auch so eine e-mail eingegangen.
Bevor ich Nachrichten von mir fremden usern genauer lese, schaue ich in der Regel in ihr Profil.
Nachdem der user schon gelöscht war, war das offensichtlich SPAM.

Solange das Problem so überschaubar bleibt, wie es jetzt scheint, ist aus meiner Sicht keine Aktion notwendig.

Eine Frage stellt sich mir:
Wie leicht lässt sich der Anmeldeprozess von einem Bot erledigen?
Wenn das einfach möglich ist, müsste “man” reagieren.
Wenn die Anmeldung nur manuell möglich ist, dann ist der Anmeldaufwand höher als der Löschaufwand beim Empfänger
und das Problem bleibt überschaubar.

Bei mir ist bislang nichts angekommen.

Wenn ich mir https://www.openstreetmap.org/user/new anschaue, vermute ich mal: relativ einfach. Es gibt noch nicht mal eine Captcha-Abfrage. Erhält man nach der Registrierung eigentlich eine Mail, wo man die Registrierung nochmal bestätigen muss (kann mich bei mir nicht mehr dran erinnern)? Wenn beides (Captcha und Bestätigungsmail) fehlt, dann ist das Tor natürlich offen.

Ganz ehrlich! Das ist ziemlich blauäugig. :roll_eyes:

Die Admins arbeiten bis auf wenige Ausnahme ehrenamtlich. Wenn man einem User der auch noch anzügliche Mitteilungen verschickt auch noch die Möglichkeit gibt, Stellung zu nehmen, dann würden die nicht mehr hinterherkommen.

Ich gehe mal davon aus, dass die Admins sehen, mit welcher IP-Adresse man sich anmeldet. Da gibt es Adressräume, die ziemlich eindeutig auf Spam hinweisen und bei den Admins dafür bekannt sind. Da sollte es auch kein Pardon geben.

Die Idee mit der Captcha-Abfrage von Aixbrick fände ich nicht schlecht. Umgehen kann man die aber auch; Gott sei Dank aber immer noch mit sehr großem Aufwand. Kostest dieser Dienst eigentlich was?

Ja.

Captcha beschreibt ja zunächst nur ein Verfahren, nicht unbedingt einen einzelnen Dienst. Deshalb lässt sich die Frage nicht so beantworten. Meistens bezahlen die Leute aber mit ihren Daten oder mit ihrer Zeit und trainieren damit nebenbei irgendeine AI.

Nunja, man sollte halt nicht reCaptcha (Google) benutzen, es gibt freie Captcha alternativen, die man selbst hosten kann. Zudem muss man auch bedenken, dass Captcha für Menschen mit Sehbeeinträchtigungen sehr schelcht sein kann. Längere Erklärung zu Captcha und warums nicht immer notwendig ist, ist https://nearcyan.com/you-probably-dont-need-recaptcha/ man kann auch nen Honeypot machen, das wär ein verstecktes Feld, was ein automatischer Bot ausfüllt. So kann man dann auch filtern.

Im übrigen gehört spätestens sowas dann aufs GitHub von der OpenStreetMap Webseite :slight_smile:

EDIT: Es gibt übrigens ein GitHub Issue dafür aus 2015, eine erste Lösung (HoneyPot und glücklicherweise kein Captcha) wurde damals eingeführt https://github.com/openstreetmap/openstreetmap-website/issues/1083

Das finde ich überhaupt nicht. Ich bin nicht dafür, dass jemand mit falschen Beschuldigungen so einfach aus OSM gekickt werden kann. Das jemand Spam verschickt hat, stellt sich doch erst nach einer Prüfung heraus und ist nicht schon deshalb Tatsache, wenn es jemand anderes behauptet. Zumindest in DE gilt für einen Beschuldigten zunächst immer die Unschuldsvermutung bis das Gegenteil bewiesen ist.

Also wenn ich von einem account, der noch keinen Beitrag zu OSM geleistet hat, eine Nachricht bekomme, die überhaupt nichts mit OSM zu tun hat und auf irgendein windiges Angebot irgendeiner Art verweist, ist das SPAM. Ich sehe hier überhaupt keinen Bezug zu irgendeiner “falschen Beschuldigung”.
Und ich weiß nicht, warum man da noch irgendwelche Prüfungen nach einer Unschuldvermutung anstellen muss. Wenn da dein Gerechtigkeitsempfinden gestört ist, kannst du dich ja freiwillig melden, um derart Prüfungen vorzunehmen.

Ich glaube, dass viele neu angemeldete Accounts schon gleich automatisch rausgeworfen werden, nämlich wenn sie ein Profil mit lauter Links erstellen. Die jüngste Spamwelle war wohl was die Links betrifft vorsichtig genug, um das nicht zu triggern. Ansonsten (in der Frage, ob Leute einfach so mit “kurzem Prozess” rausgeworfen werden) ist es glaub ich so, dass bei einem frisch angemeldeten Account mit 0 Edits nicht lang gefackelt wird, wenn da einer behauptet “der hat mich gespammt” dann glaubt man dem (meistens hat der Account aber eh in seinem Profil einen Sex-Link und dann ist die Sache klar). Wenn es jetzt ein länger existierender Account mit Edits wäre, würde man den natürlich nicht gleich rauswerfen, nur weil jemand behauptet, dass er Spam verschickt habe.

Auf einer Mailingliste hat neulich einer vorgeschlagen, man könnte doch eine Profil-Erstellung erst erlauben, wenn jemand auch Edits hat, aber da gibt es auch Gegenargumente dazu.

Es ist wiederum blauäugig zu glauben, dass ein Admin einfach auf die Behauptung hin: “Der spamt mich,” einfach einen Account platt macht.

Da wird mit Sicherheit geschaut, ob da entsprechende Nachrichten versendet werden, ob die Anmeldung aus einem verdächtigen Adressraum kommt und ob sonstige Spammerkmale erfüllt sind. Das sind IMHO die Prüfungen, die ein Admin macht. Jeder Admin ist schon von “berufswegen” für solche Anzeichen sensibilisiert. Dem mutmaßlichen Spamer auch noch die Möglichkeit zu geben, Stellung zu nehmen ist sogar eher kontraproduktiv. Dann weiß er, sein Spamrun war erfolgreich.

Das kannst Du getrost stecken lassen, denn das gilt nur für den strafrechtlichen Bereich. Hier sind wir im Zivilrecht und da setzt der Admin das Hausrecht des Betreibers (OSMF) durch. Ich kenn jetzt die Nutzungsbedingungen nicht auswendig, bin mir aber ziemlich sicher, das eine Spamklausel drin steht.

Ich denke es wäre sinnvoll, das Versenden von Nachrichten für neue Accounts zu begrenzen

  • nur für Accounts mit Edits
  • erst nach Ablauf eines Monats seit Anmeldung
  • solange nicht beide Bedingungen erfüllt sind sollten nur Antworten funktionieren, wenn man eine Nachricht erhalten hat

Ich habe mal meine eigenen Anfänge untersucht, es waren 4 Monate vom ersten Edit bis zur ersten Nachricht. Die Bedeutung, sofort Nachrichten versenden zu können ist IMHO sehr hoch für Spammer aber praktisch gegenstandslos für neue Mapper.

Zum Thema Captcha: Es ist nicht weiter schwer, einen eigenen Captcha selbst zu programmieren, für meine eigenen Webseiten habe ich das so gemacht. Das hat auch den Vorteil, daß das Captcha unbekannt ist und keine fertigen Angriffe darauf bereitstehen. Allerdings sollte man sein eigenes Captcha nicht Open Source stellen - damit liefert man einem Angreifer schon fast die Anleitung in die Hand, wie er es aushebeln kann. Generell bin ich aber der Meinung, daß ein Captcha der schlechtere Weg ist, da es alle legitimen Nutzer bestraft/nervt, während ein echter Neumapper die oben genannten Begrenzungen in den meisten Fällen nie bemerken würde.