Edited September 21, 2023

Anteontem compartilhei um código do Bluesky no servidor do Discord do Bellingcat e logo depois alguém compartilhou uma thread da conta Bluesky Safety, onde eles contam como usam a árvore de convites para rastrear bots de spam na rede social.

E esse post chamou a atenção:

When we investigate spam networks, we use invite trees to identify where they came from. Often, an entire network of spam bots comes from the same invite tree. This makes it easier for us to track down and ban these accounts.

Se alguém usar um convite meu com propósito duvidoso, de que forma isso afeta a minha conta?

Não sei... Mas decidi verificar quem são as pessoas que pegaram meus convites, quase todos compartilhados neste post do Órbita.

curl, jq, xargs e sed para seus convidados

Quando alguém usa um código, a conta que convidou recebe uma notificação, mas depois de descartar esses avisos não encontrei na interface uma opção de listar esses usuários. Sendo assim, achei um script no GitHub que lista as contas que você convidou.

Fiz duas alterações e aqui está:

curl -s -H "Authorization: Bearer $(curl -X POST -H "Content-Type: application/json" -d '{"identifier": "<IDENTIFIER>", "password": "<PASSWORD>"}' https://bsky.social/xrpc/com.atproto.server.createSession |
jq -j ".accessJwt")" "https://bsky.social/xrpc/com.atproto.server.getAccountInviteCodes" |
jq -r '.codes[].uses[].usedBy' |
xargs -I{} -P10 curl -s 'https://plc.directory/{}' |
jq -r '.alsoKnownAs[0]' |
sed 's/at:\/\//https:\/\/bsky.app\/profile\//g'

• <IDENTIFIER> é o nome de usuário e o domínio, o meu por exemplo é: claromes.bsky.social
• <PASSWORD> por enquanto deve ser sua senha de login, pois getAccountInviteCodes foi desabilitado para App Passwords.

A saída é a lista com os links dos perfis convidados:

https://bsky.app/profile/<HANDLE>.<DOMAIN>

E agora é torcer para não ter iniciado uma rede de spam.

Written by Claromes