Zijn dit valse e-mail adressen in online voting databse? - Softwareontwikkeling

Vraag

dinsdag 16 mei 2017 01:33

Acties:

0 Henk 'm!

Topicstarter

Een tijdje geleden heb ik een Online voting online gezet voor tiental-tal projecten die allemaal de publieksprijs wilde versieren. Inmiddels is de voting afgelopen en het valt me op dat de laatste dagen enorm veel rare e-mail adressen met all mass gestemd hebbben. Inclusief het klikken op de link in de verificatiemail.

De stem-procedure gaat alsvolgt:
- je selecteerd een project, klikt op 'Stem nu'
- Je vult uw e-mail in, de server doet een duplicaat check en als uw e-mail uniek is krijg je de boodschap dat er een verificatie mail gestuurd is.
- Uw stem is pas geldig als je op de verificatie-link hebt geklikt.
- Je kan eventueel op een ander project stemmen met hetzelfde e-mail adres maar dat gebeurde niet vaak.

nu de rariteiten...
- Het project A dat tevens altijd aan de leiding stond heeft heel veel stemmen van fake domeinnamen, ongeveer 1000 e-mail adressen die gevormd zijn met de volgende domeinen: axon7zte.com
viyo@honor-8.com, lgxscreen.com, alienware13.com, envy17.com, akgq701.com, lenovog4.com; xperiae5.com, klipschx12.com, axon7zte.com

- Dat zelfde project A heeft nog vele honderden e-mail adressen met slavische namen. strunicela@gmail.com
nikolajeremicc@gmail.com, vlasicmia2@gmail.com, ruzicamatic7@gmail.com.

- Project B, stond steeds op de 2de plaats en daar is geen enkele stem te vinden met een e-mail met raar domeinnaam zoals Alienware13.com of envy17.com enz. Maar ook hier zijn er een 1000-tal gmail adressen met deze keer Engelse namen die ook hier weer in een bepaald tijdspanne zijn binnengekomen.

- De andere projecten hebben allemaal gewoon echte stemmen.

Dat de e-mail adressen resulteerden in valse stemmen is een zekerheid maar ik vraag mij af hoe zoiets kan? En dat via Gmail met allemaal namen. Project A enkel Servische namen en Project B enkel Engelstalige namen. Zijn dat gehackte mailadressen? Moet ik die mensen waarschuwen dat hun account is gehackt en lukraak worden gebruikt? Of zijn de e-mail adressen effectief fake en worden ze doelbewust ingezet om online votings te manipuleren?

De voting is ondertussen afgelopen, en de echte stemmen zijn inmiddels van de valse gescheiden maar ik was toch eens benieuwd of iemand ervaring had met zulke praktijken.

Wat denken jullie?

Alle reacties

dinsdag 16 mei 2017 12:47

Acties:

0 Henk 'm!

DJMaze

Een e-mailadres is per definitie te vervalsen. Altijd en overal.
Ik ga je niet uitleggen waarom dat zo is, maar als jij hiervoor een beveiliging inbouwt zal ik bewijzen dat het mij alsnog lukt om je resultaten te vervalsen.

Daarnaast zal jij nooit alle valse voters hebben gevonden.

Als je wil stemmen, sta dat dan alleen toe met telefoonnummers en SMS een activatie code.
Dan zijn er nog steeds valse voters, maar een stuk minder!

[ Voor 15% gewijzigd door DJMaze op 16-05-2017 12:50 ]

Maak je niet druk, dat doet de compressor maar

dinsdag 16 mei 2017 12:53

Acties:

0 Henk 'm!

CurtPoindexter

[ Voor 99% gewijzigd door CurtPoindexter op 19-10-2019 11:48 . Reden: Leeg ivm privacy ]

dinsdag 16 mei 2017 12:58

Acties:

0 Henk 'm!

pacificocean

ik ben wel benieuwd hoe zo'n verificatie code in een email gefaket kan worden dan. Bereken je dan de verifykey aan de hand van een groot aantal emails ofzo?

dinsdag 16 mei 2017 13:03

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Die domeinen zijn wel gewoon in gebruik, veelal door mensen die hopen op typefouten en daar flink wat reclame op gooien. Heb je dus 2 scenario's, of de spammers achter deze domeinen hebben systeem die 'as a service' gewoon votes kunnen uitbrengen, of je verify systeem was absoluut niet waterdicht en hele systeem werd 'en masse' misbruikt.

Gezien je genoeg 'bedrijven' hebt die je kan inhuren voor stemmen/voten/liken, ga ik logisch voor scenario 1. Maar dat zou impliceren dat de mensen achter het project zelf dit hebben opgestart, om dus plekje 1 te halen.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

dinsdag 16 mei 2017 13:04

Acties:

0 Henk 'm!

DJMaze

CurtPoindexter schreef op dinsdag 16 mei 2017 @ 12:53:
Waar je over moet nadenken, is wie er uberhaupt zouden mogen stemmen, en hoe je die "pool" van stemmers verifieert. Zijn het studenten? Klanten? Vreemden? Daar richt je je proces op in. Dan is het zinvol of zinloos om om telefoonverificatie te vragen.

Natuurlijk, zo zou je bijvoorbeeld ook een "facebook" verificatie kunnen gebruiken of een iDeal betaling van €1.
Mogelijkheden genoeg.

Maak je niet druk, dat doet de compressor maar

dinsdag 16 mei 2017 13:12

Acties:

0 Henk 'm!

CurtPoindexter

[ Voor 100% gewijzigd door CurtPoindexter op 19-10-2019 11:48 . Reden: Leeg ivm privacy ]

dinsdag 16 mei 2017 13:16

Acties:

0 Henk 'm!

pacificocean

CurtPoindexter schreef op dinsdag 16 mei 2017 @ 13:12:
[...]

Je krijgt een linkje in de mail om je stem te bevestigen, die kan je gewoon volgen natuurlijk. Op die pagina weer een nummertje invullen of een knopje duwen is een half uurtje programmeer werk.

Ik neem alleen aan dat je dat linkje per verstuurde email wel uniek maakt.

dinsdag 16 mei 2017 13:34

Acties:

0 Henk 'm!

CurtPoindexter

[ Voor 100% gewijzigd door CurtPoindexter op 19-10-2019 11:48 . Reden: Leeg ivm privacy ]

dinsdag 16 mei 2017 13:39

Acties:

0 Henk 'm!

pacificocean

CurtPoindexter schreef op dinsdag 16 mei 2017 @ 13:34:
[...]

Yep, maar die kan je nog wel uit de mail halen.

Klopt, maar dan moet je toegang hebben tot de email. Volgens mij bedoelt TS juist dat hij verwacht dat er geen toegang is tot de emails.

dinsdag 16 mei 2017 13:42

Acties:

0 Henk 'm!

Tsurany

⭐⭐⭐⭐⭐

pacificocean schreef op dinsdag 16 mei 2017 @ 13:39:
[...]

Klopt, maar dan moet je toegang hebben tot de email. Volgens mij bedoelt TS juist dat hij verwacht dat er geen toegang is tot de emails.

Als hij dat verwacht dan klopt dat niet. Je hebt van die typische sites voor wegwerp mailadressen en een pool van ~10.000 Gmail adressen voor dit soort doeleinden is ook zo aangemaakt.
Mensen gaan echt geen gehackte mailadressen gebruiken als zulke adressen verkrijgen meer kost (in geld dan wel tijd) dan het aanmaken van realistische nep mailadressen.

Captcha's kan je geautomatiseerd uitbesteden aan een ontwikkelingsland waarbij mensen voor een paar dollar duizenden Captcha's voor je oplossen.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 16 mei 2017 13:45

Acties:

0 Henk 'm!

Jaapio_B

Wordt de verificatie link voor ieder e-mailadres uniek en random gegenereerd of zit het gebruikte e-mailadres er in verwerkt?
Als het e-mailadres in de link zit verwerkt is het natuurlijk makkelijk om d.m.v. een script voor ieder gebruikte e-mailadres de link te openen.

Aan alles komt een eind.

dinsdag 16 mei 2017 15:32

Acties:

+1 Henk 'm!

Barryvdh

Tsurany schreef op dinsdag 16 mei 2017 @ 13:42:
[...]

Als hij dat verwacht dan klopt dat niet. Je hebt van die typische sites voor wegwerp mailadressen en een pool van ~10.000 Gmail adressen voor dit soort doeleinden is ook zo aangemaakt.
Mensen gaan echt geen gehackte mailadressen gebruiken als zulke adressen verkrijgen meer kost (in geld dan wel tijd) dan het aanmaken van realistische nep mailadressen.

Captcha's kan je geautomatiseerd uitbesteden aan een ontwikkelingsland waarbij mensen voor een paar dollar duizenden Captcha's voor je oplossen.

Een domein voor 5 euro met onbeperkt e-mailadressen heb je zo (gewoon catch-all naar 1 adres), maar gmail kan je niet 'zomaar' even 10.000 maken lijkt me (want captcha's enzo). Ik kan me dan wel weer voorstellen dat er diensten zijn die dmv lage lonen wel een pool van e-mailadressen hebben, maar die zal je dan moeten inhuren.

Als je een (goede) captcha op je formulier hebt zitten en je genereert een unieke code die geverifieerd moet worden, zou je toch de meeste er wel uit moeten filteren al.

dinsdag 16 mei 2017 15:37

Acties:

0 Henk 'm!

I-King

Het lijkt me óf een ingehuurd bureau/service, óf een 'lek/fout' in de verificatie. Wij hebben ooit ook aan iets dergelijks meegedaan, toen was de verificatielink domain.com/confirm=email@domain.com. Dat was dus vrij makkelijk te misbruiken.

Ik weet niet hoe de verificatielink is gemaakt, maar als dat bijvoorbeeld te voorspellen/reproduceren is, is het vrij makkelijk om duizenden stemmen te genereren.

dinsdag 16 mei 2017 17:03

Acties:

0 Henk 'm!

Coolstart

Topicstarter

I-King schreef op dinsdag 16 mei 2017 @ 15:37:
Het lijkt me óf een ingehuurd bureau/service, óf een 'lek/fout' in de verificatie. Wij hebben ooit ook aan iets dergelijks meegedaan, toen was de verificatielink domain.com/confirm=email@domain.com. Dat was dus vrij makkelijk te misbruiken.

Ik weet niet hoe de verificatielink is gemaakt, maar als dat bijvoorbeeld te voorspellen/reproduceren is, is het vrij makkelijk om duizenden stemmen te genereren.

We hebben een random alfanumerieke gebruikt dus je kan niet zelf raden wat verificatie-url kan zijn. De grootste vraag blijft die G-mail adressen omdat dat all mass hacken toch wel moeilijker is en gewoon all mass aanmaken is ook extreem moeilijk.

[ Voor 3% gewijzigd door Coolstart op 16-05-2017 17:05 ]

dinsdag 16 mei 2017 17:07

Acties:

0 Henk 'm!

Coolstart

Topicstarter

CurtPoindexter schreef op dinsdag 16 mei 2017 @ 13:34:
[...]

Yep, maar die kan je nog wel uit de mail halen.

Klopt de link is uniek gegenereerd, je kan die idd uit de mail halen door de mail ergens te onderscheppen of effectief te opene. Voor uw eigen domeinnaam is dat geen probleem maar omdat voor 1000 gmail adressen te doen lijkt me iets helemaal ander. Geen idee hoe zoiets kan.

dinsdag 16 mei 2017 17:11

Acties:

0 Henk 'm!

Bene

list incomprehension

Je kunt dit soort votes simpelweg kopen per 100 of 1000, bijvoorbeeld op fiverr, of via de Amazon Turk. Mag niet volgens de voorwaarden, maar dat zal niemand tegenhouden. "Echtere" accounts, bijvoorbeeld op basis van gmail, zijn duurder. Votes waarbij men nog een actie moet nemen zoals verificatie zullen ook een paar cent duurder zijn per stem.

[ Voor 18% gewijzigd door Bene op 16-05-2017 17:12 ]

dinsdag 16 mei 2017 17:13

Acties:

0 Henk 'm!

E-Vix

Nu met sneeuw!

Er zijn zat mass gmail creator programma's online beschikbaar. En er bestaat ook software om automatisch op verificatielinkjes in email te klikken.

Verder, heb je geen IP adressen opgeslagen van de inschrijvingen? Waar je vanaf één computer 10.000 email adressen kan beheren, is het al lasting om 10 verschillende IP adressen te gebruiken. Dus als je ook nog eens heel veel de zelfde IP adressen hebt, dan weet ze zeker dat er gefraudeerd wordt. Vooral de IP adressen die op de verificatielink hebben geklikt zijn dan interessant aangezien als daar een programma voor wordt gebruikt, de kans groot is dat die telkens van hetzelfde IP adres klikt.

Failed opening '/home/users/7942/signature.inc' for inclusion (include_path='.:') in /home/www/got/userstats.php on line 25

dinsdag 16 mei 2017 17:24

Acties:

0 Henk 'm!

Coolstart

Topicstarter

E-Vix schreef op dinsdag 16 mei 2017 @ 17:13:
Er zijn zat mass gmail creator programma's online beschikbaar. En er bestaat ook software om automatisch op verificatielinkjes in email te klikken.

Verder, heb je geen IP adressen opgeslagen van de inschrijvingen?

IP-check werd niet gedaan omdat veel bedrijven steeds van hetzelfde IP versturen dus het is niet 100% waterdicht. De manuele indentificatie zou idd wel iets sneller/zekerder kunnen verlopen maar dat ging nu ook wel vrij snel omdat ze opvielen in de massa.

Is de software om dop de verificatielinkjes te klikken betalend? Want dat wijst al meer op kwaad opzet terwijl ik ook nog vermoed dat het mss gewoon spambots zijn.

dinsdag 16 mei 2017 17:27

Acties:

0 Henk 'm!

Tsurany

⭐⭐⭐⭐⭐

Coolstart schreef op dinsdag 16 mei 2017 @ 17:03:
[...]

We hebben een random alfanumerieke gebruikt dus je kan niet zelf raden wat verificatie-url kan zijn. De grootste vraag blijft die G-mail adressen omdat dat all mass hacken toch wel moeilijker is en gewoon all mass aanmaken is ook extreem moeilijk.

Aanmaken is niet moeilijk, het kost enkel tijd. Als je ze vervolgens jaren lang kunt gebruiken is dat zeker de moeite waard. Besteed je gewoon uit aan iemand die dat voor een handjevol dollars doet.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 16 mei 2017 17:27

Acties:

0 Henk 'm!

Coolstart

Topicstarter

Bene schreef op dinsdag 16 mei 2017 @ 17:11:
Je kunt dit soort votes simpelweg kopen per 100 of 1000, bijvoorbeeld op fiverr, of via de Amazon Turk. Mag niet volgens de voorwaarden, maar dat zal niemand tegenhouden. "Echtere" accounts, bijvoorbeeld op basis van gmail, zijn duurder. Votes waarbij men nog een actie moet nemen zoals verificatie zullen ook een paar cent duurder zijn per stem.

In dat geval is er sprake van kwaadopzet en niet zomaar een op hol geslagen e-mail bot. Wat raar is, is dat de enkel de top 2 projecten 'last' hadden van die stemfraude. De andere projecten hadden echte stemmen.

dinsdag 16 mei 2017 18:07

Acties:

+1 Henk 'm!

DJMaze

Coolstart schreef op dinsdag 16 mei 2017 @ 17:27:
De andere projecten hadden echte stemmen.

Hoe weet je dat zo zeker?
Ik kan bijvoorbeeld voor € 3 een domeinnaam registeren houthandel-pietersen.nl en vervolgens alle mail in een centrale mailbox afvangen.
Een script met echte namen (telefoonboek anyone?) genereerd vervolgens e-mailadressen als:

h.jansen [AT] houthandel-pietersen.nl
f.doornbos [AT] houthandel-pietersen.nl
into [AT] houthandel-pietersen.nl
janine [AT] houthandel-pietersen.nl
etc.

Bij Ziggo mag je ook N e-mailadressen hebben.

Je kan ook "." (punt) tekens gebruiken in je google e-mailadres:
hendrikjan [AT] gmail.com
hendrik.jan [AT] gmail.com
hendrik.j.an [AT] gmail.com
h.end.rik.jan [AT] gmail.com
etc.

En dan is er nog het "+" of "-" teken (mag ook een ander recipient_delimiter teken zijn).
Dan krijg je e-mailadressen als (gmail is als voorbeeld, kan ook ander zijn):

hendrikjan+mailing [AT] gmail.com
hendrikjan+jansen [AT] gmail.com
hendrikjan+pietersen [AT] gmail.com
etc.

Heb je dat allemaal gecontroleerd?

[ Voor 3% gewijzigd door DJMaze op 16-05-2017 18:18 ]

Maak je niet druk, dat doet de compressor maar

dinsdag 16 mei 2017 20:16

Acties:

0 Henk 'm!

Bene

list incomprehension

Coolstart schreef op dinsdag 16 mei 2017 @ 17:27:
In dat geval is er sprake van kwaadopzet en niet zomaar een op hol geslagen e-mail bot. Wat raar is, is dat de enkel de top 2 projecten 'last' hadden van die stemfraude. De andere projecten hadden echte stemmen.

Hier kwam je eerste set vandaan: https://temp-mail.org/nl/option/change/

Stemfraude is de meest waarschijnlijke uitleg, dus zal het wel zo zijn. Wat het nog zou beamen is als alle verdachte stemmen qua tijd allemaal bij elkaar liggen.

woensdag 17 mei 2017 01:44

Acties:

0 Henk 'm!

Coolstart

Topicstarter

DJMaze schreef op dinsdag 16 mei 2017 @ 18:07:
[...]

Hoe weet je dat zo zeker?
Ik kan bijvoorbeeld voor € 3 een domeinnaam registeren houthandel-pietersen.nl en vervolgens alle mail in een centrale mailbox afvangen.
Een script met echte namen (telefoonboek anyone?) genereerd vervolgens e-mailadressen als:

Heb je dat allemaal gecontroleerd?

Klopt, dit is idd perfect mogelijk en dat is ook gebeurd maar voor een onduidelijke reden hebben ze bijna nooit op de verificatielink geklikt waardoor de stem niet meetelde. Mogelijk zijn ze op hun eigen een spamfilter gelopen (in dit geval verstuurder mandrill verificatiemails naar hun mailserver) Waarschijnlijk zijn er wel een paar door de mazen van het net gekropen maar onvoldoende om invloed te hebben op een overwinning op basis van echte stemmen.

Wat betreft die praktijk zag de database dump zag er zo uit: (ik heb de bewuste domeinnamen even aangepast in YYY omdat het domein waarmee de mails gegeneeerd werden effectief het bedrijf is dat mee deed aan de wedstrijd. )

8:50:08 christel.bonny@yyy
8:50:16 christel.desutter@yyy
8:50:32 christel.hernou@yyy
8:50:40 christel.jonckheere@yyy
8:50:48 christel.maes@yyy
8:50:57 christel.vandamme@yyy
8:51:06 christel.vanhaelemeersch@yyy
8:51:14 christel.vanhauwaert@yyy

Dat zou impliceren dat er op 2 minuten tijd 'toevallig' 8 Christels een stem wilden uitbrengen via het zelfde domein ;-) Deze stemmen zijn op basis van tijd/gelijkenis niet meer geteld. Maar de meeste stemmen waren al niet meegeteld doordar ze vermoedelijk op hun eigen spamfilter gelopen zijn.

[ Voor 3% gewijzigd door Coolstart op 17-05-2017 01:50 ]

woensdag 17 mei 2017 01:48

Acties:

0 Henk 'm!

Coolstart

Topicstarter

Bene schreef op dinsdag 16 mei 2017 @ 20:16:
[...]

Hier kwam je eerste set vandaan: https://temp-mail.org/nl/option/change/

Stemfraude is de meest waarschijnlijke uitleg, dus zal het wel zo zijn. Wat het nog zou beamen is als alle verdachte stemmen qua tijd allemaal bij elkaar liggen.

Omg Thx!

Klopt, de tijdstippen volgen elkaar kort op.
De sql dump ziet er zo uit: (en zo zijn er honderden)

5:16:57 dokevul@pavilionx2.com
5:18:54 tohuf@lenovog4.com
5:20:50 hosayi@lgxscreen.com
5:22:53 nosope@envy17.com
5:24:41 rovejotoho@xperiae5.com
5:26:35 puho@xperiae5.com
5:28:28 rijesiyexe@alienware13.com
5:30:22 xanag@akgq701.com
5:32:18 hipelu@klipschx12.com
5:34:11 vave@envy17.com

donderdag 18 mei 2017 00:39

Acties:

0 Henk 'm!

Bene

list incomprehension

Leuk, ongeveer 2 minuten tussen elke stem, dat patroon zal zich wel herhalen. Kun je nog zien in access logging of iets of de validatie iedere keer vanaf hetzelfde IP adres komt?

donderdag 18 mei 2017 15:43

Acties:

0 Henk 'm!

Coolstart

Topicstarter

Bene schreef op donderdag 18 mei 2017 @ 00:39:
Leuk, ongeveer 2 minuten tussen elke stem, dat patroon zal zich wel herhalen. Kun je nog zien in access logging of iets of de validatie iedere keer vanaf hetzelfde IP adres komt?

In de database wordt het IP niet opgeslagen. Een automatische IP ban zou niet lukken omdat het te foutgevoelig is maar we zouden we een IP-ban manueel kunnen instellen om bepaalde servers te blokkeren maar voor hetzelfde geld hebben die script ook weer een manier op via vele proxy's te werken.

donderdag 18 mei 2017 17:39

Acties:

0 Henk 'm!

Bene

list incomprehension

Ik ken de context niet van het hele verhaal, maar op basis van wat je schrijft zou je "shadowbanning" kunnen overwegen, Je neemt iedere validatie aan en meldt deze terug als succesvol en noteert het IP, bij meer dan 10 validaties originerend uit hetzelfde IP adres gooi je het successcherm op maar markeer je de vote onder water niet als "gevalideerd" en tel je hem niet mee. Mailadressen is nog scriptmatig mee te rommelen, maar grote hoeveelheden IP adressen / proxies is een hele andere schaal, dan moet men er significante bedragen per stem in gaan investeren.

donderdag 18 mei 2017 23:51

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Als je een hoop fake votes krijgt, kan je ook kijken naar geolocation. Ik weet niet of het een wereldwijd bekend stem-proces is, maar je kan het votes beperken tot Nederland, Duitsland en België. Op die manier heb ik op een bepaalde site al de registratie geblokkeerd nadat er blikken vol met spam-acocutns zich registreerden. Helaas zijn ze al jaren zo slim dat ze bestaande mailadressen gebruiken en zelfs naar verificatiemailtjes loeren die ze eenvoudig kunnen aanklikken.

Misschien kan je in plaats van geolocation op de validatiepagina heb nog een actie laten doen. Maar het werkt wel een aardige drempel op, vrees ik.

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

vrijdag 19 mei 2017 11:35

Acties:

0 Henk 'm!

Coolstart

Topicstarter

AW_Bos schreef op donderdag 18 mei 2017 @ 23:51:
Als je een hoop fake votes krijgt, kan je ook kijken naar geolocation. Ik weet niet of het een wereldwijd bekend stem-proces is, maar je kan het votes beperken tot Nederland, Duitsland en België. Op die manier heb ik op een bepaalde site al de registratie geblokkeerd nadat er blikken vol met spam-acocutns zich registreerden. Helaas zijn ze al jaren zo slim dat ze bestaande mailadressen gebruiken en zelfs naar verificatiemailtjes loeren die ze eenvoudig kunnen aanklikken.

Misschien kan je in plaats van geolocation op de validatiepagina heb nog een actie laten doen. Maar het werkt wel een aardige drempel op, vrees ik.

Idd, maar het dekt niet alles. Geo fencing lijkt een goede remedie al denk ik dat ik volgende keer in het script blacklists ga toevoegen op basis van IP en domein zodat de stem wel doorgaat maar dat de stementeller niet omhoog gaat. Maar ook dit is niet solide.

Dit vraagt wel dagelijkse opvolging omdat ik vermoed dat er geavanceerde proxy's gebruikt worden die switchen van IP. Dus sowieso gaan er valse stemmen doorkomen en achteraf moeten afgetrokken worden.

Dan heb je nog stemmen met eigen domeinnaam. Zo was er een team die vanuit hun eigen domein zeer veel namen genereerde. Op het eerste zicht lijkt er niets aan de hand maar toen ontdekte ik dat de namen alfabetisch binnen kwamen ;-) Ook hier kan ik het IP niet blacklisten want in dat zlefde bedrijf zijn er mensen die perfect geldig stemmen met datzelde ip.

Volgende keer plaatsen we wel een captcha om bots te bannen. Al hoor ik verhalen dat je voor weinig geld mensen in india en pakistan kan betalen om all mass op die captcha te klikken maar zoals je zegt helpt dat wel drempel verhogend. Elke stem kost extra geld en dan is de fun er snel af.

De beste maar duurste oplossing is via sms-verificatie. Diensten zoals Twilio kan je gebruiken voor zulke doeleinden. Al kost het wel +- 4,5 cent per sms.

vrijdag 19 mei 2017 12:43

Acties:

0 Henk 'm!

DJMaze

Coolstart schreef op vrijdag 19 mei 2017 @ 11:35:
Dit vraagt wel dagelijkse opvolging omdat ik vermoed dat er geavanceerde proxy's gebruikt worden die switchen van IP.

Dat heet gewoon Onion routing. Zo geavanceerd is dat niet hoor.

Coolstart schreef op vrijdag 19 mei 2017 @ 11:35:
De beste maar duurste oplossing is via sms-verificatie. Diensten zoals Twilio kan je gebruiken voor zulke doeleinden. Al kost het wel +- 4,5 cent per sms.

Je kan zelf een sim-module aan je server hangen met een simyo onbeperkt sms'en kaartje voor € 13 per maand.
Je gaat toch niet voor € 13 per maand zelf alle foute votes handmatig filteren?
Natuurlijk heb je ook een GPRS-GSM Modem nodig (zo rond de € 70)

Ik krijg wel het gevoel dat je de opties totaal niet hebt onderzocht of een brainstorm sessies met collega's hebt gevoerd. Alsof je een junior bent die iets met websites doet als vriendendienst.
Excuus als ik je hiermee heb beledigd, maar de kennis mist wel.

[ Voor 15% gewijzigd door DJMaze op 19-05-2017 13:57 ]

Maak je niet druk, dat doet de compressor maar

vrijdag 19 mei 2017 13:54

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Bevestigen via SMS een al een drempel. Ik denk dat niet iedereen graag zijn telefoonnummer invult, dus een deel van je stemmers zullen snel afhaken.

Ik denk dat je het beste enkele keren per dag met een snapshot de huidige stand van zaken moet bekijken. Als je merkt dat er op eens een aanzienlijk verschil is in de stemmen, dan kan je onderzoek doen naar fraude. Maar dit valt niet altijd op te merken.

Kijk maar eens naar deze actie van Geen Stijl van vroeger, die hadden ook massaal de poll overhoop gehaald met gemene truukjes, dacht ik? http://www.geenstijl.nl/m...stijl_chips_een_feit.html

Enige solide mogelijkheid zou een unieke vingerafruk of irisscan zijn, maar dat is gewoon ondoenbaar

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

vrijdag 19 mei 2017 14:00

Acties:

+1 Henk 'm!

Coolstart

Topicstarter

DJMaze schreef op vrijdag 19 mei 2017 @ 12:43:
[...]

Dat heet gewoon Onion routing. Zo geavanceerd is dat niet hoor.

[...]

Je kan zelf een sim-module aan je server hangen met een simyo onbeperkt sms'en kaartje voor € 13 per maand.
Je gaat toch niet voor € 13 per maand zelf alle foute votes handmatig filteren?

Ik krijg wel het gevoel dat je de opties totaal niet hebt onderzocht of een brainstorm sessies met collega's hebt gevoerd. Alsof je een junior bent die iets met websites doet als vriendendienst.

Uw voorstellen zijn leuk maar niet haalbaar. 13euro abbo's met eigen sim setup is vragen voor problemen. Je hebt totaal geen service, geen controle, geen backup etc.

Nogmaals, er is niets misgelopen. Alle verificatiemails zijn aangekomen, mensen hebben gestemd en ik heb de valse mails relatief eenvoudig kunnen scannen.

Er zijn vele oplossingen de revue gepasseerd maar niets is sluitend. Handmatige controle achteraf is altijd nodig.

Daarnaast vraag ik ieders mening over mogelijke oplossingen en niet uw mening over hoe goed of slecht ik ben en of ik al dan niet een groentje ben en of mijn vrienden capabel zijn. Uw betweterig gedrag is gewoon storend. Ik wilde gewoon bijleren over zulke kwesties en ik hoop dat het topic ander helpt om een voting vodule te ontwerpenzonder fake votes maar wel gebruiksvriendelijk en toegankelijk voor iedereen.

Los daarvan ben ik blij met de bijdrage van de andere, ik heb steeds geprobeerd om zo open mogelijk te reageren en vooral niet mijn bezorgdheid te uiten over zijn of haar capaciteiten, daar zou ik niemand met verder helpen.

vrijdag 19 mei 2017 14:03

Acties:

0 Henk 'm!

Coolstart

Topicstarter

AW_Bos schreef op vrijdag 19 mei 2017 @ 13:54:
Bevestigen via SMS een al een drempel. Ik denk dat niet iedereen graag zijn telefoonnummer invult, dus een deel van je stemmers zullen snel afhaken.

Idd voor die reden is sms-stemmen er niet doorgekomen. Ook een captcha kreeg weerstand voor die reden. Er zijn mensen die er last met hebben. Zeker in een bepaalde doelgroep. Daarom hebben we ervoor gekozen om achteraf de selectie te maken van fake/echte votes.

Wat mij nog de beste optie lijkt is de verificatielink vervangen door een code die ze handmatig moeten invullen. De code die je meegeeft zou ik in meerdere templates zodat het moeilijker wordt om een script te ontwerpen dat automatisch opzoek gaat naar die code en weer invult in het webveld.

Voor de gebruiker is dat ook iets meer werk maar het is wel duidelijk en er komt geen fancy technologie aan te pas en je vermijd een ingewikkelde captcha.

[ Voor 30% gewijzigd door Coolstart op 19-05-2017 14:17 ]

Pagina: 1

Reageer