Сегодня с утра творится то, о чем так долго говорили большевики что можно было предвидеть: у Билайна случилась проблема с доставкой (части) СМС, и, внезапно, для клиентов Билайна авторизации через SMS поломалась.



Мы все знаем, как неприятно, когда большая система перестает работать как надо. И чем больше система, тем сложнее её потом бывает запустить. С СМС проблема сегодня минимум с утра, и, наверняка, инженеры компании это время не сидят сложа руки — вот только сотням и тысячам людей, которые не могу войти в сервисы (потому что у них включена 2FA), не могут произвести оплату в интернете (потому что используется «3-D Secure» и иже с ней), могут не получить уведомления о переносе рейса в аэропорту, или оповещение от собственного Zabbix-а — этим людям хочется произнести тихое незлое слово, а то и несколько.

Но пишу я не только, чтобы обвинить в чем-то Билайн. СМС-ки они починят, как только смогут, в этом я уверен. Мне куда интереснее сама ситуация: мы с вами так сильно надеемся на 2FA и вообще «проверки по другому каналу», что забываем о том, что этот канал должен быть надежным, и, в идеале, также дублированным. Иначе мы просто добавляем в систему еще один не абсолютно надежный компонент, и вероятность отказа системы с 2FA оказывается большей, чем того хотелось бы. Да, 2FA — это безопаснее, но (как показывает эта ситуация), нет, не надежнее.

Кажется, сотовым компаниях подумать бы о резервировании доставке СМС еще и через пуши, или еще как-то (кроме отправки через Почту России, конечно). Кстати, интересно, что войти в ЛК Альфа-банка у меня не получилось (не дождался СМС), а вот в ЛК Сбербанк прекрасно вошел (СМС пришла). Возможно, повезло, конечно. Характерно, кстати, что в Альфе и в Тинькове (например) у меня включены пуши, но 3-D Secure при попытке проверить платеж их не использовала — только СМС.

На фото — «полосатый мух, вид сзади». Лично для меня ситуация выглядит сегодня именно так.

UPD: Билайн сообщил, что «только что» с проблемой поборолись. Но очередь на отправку будет еще некоторое время разгребаться, и только потом уже новые СМС будут отправляться без задержки, а пока — лучше набраться терпения.

UPD2: По поводу ответов вида «Если у вас есть претензии к работе банка или другого сервиса вы можете обратиться в поддержку этого сервиса или прекратить им пользоваться» могу сразу уточнить: проблема не в одном банке, а в том, что один элемент (сотовый оператор) может (си смог) поломать работу очень многих людей, т.к. при выходе его из строя подтверждение никак не передается другим методом. И конкретный банк здесь виноват не сильно, они используют СМС как данность, веря в их надежность — так же, как и многие другие компании, не только банки.

Комментарии (29)


  1. mm3
    20.09.2019 15:45

    У Альфа-банка есть достаточно приличное мобильное приложение, которое готово доставлять авторизационные коды через пуш-уведомления заместо смс.
    А если вы вообще не доверяете операторам сотовой связи ищите банки готовые работать с аппаратными OTP ключами, если такие ещё остались.


    1. achekalin Автор
      20.09.2019 15:51

      Да, это решение для одного банка. Но при 3D Secure, скажем, пуши не летят. а летит СМС — ведь так?

      СМС же не только в банке отправляют. Приведенный 2FA сегодня на каждом втором сервисе есть (и его использование вообще оказывается хорошим тоном). Пока вход в (условно) панель управления провайдера не будет закрываться вместо SMS авторизацией по Google Authenticator — остается уповать только на надежность сотового оператора.


      1. Dreyk
        20.09.2019 16:04

        мой банк (моно, Украина) присылает пуши


      1. mm3
        20.09.2019 16:17

        Мне правда пока ещё не приходилось использовать пуш-нотификации для 3D Secure, но я сильно удивлюсь если они не сработают.

        Каждый конкретный банк, как и любой другой сервис, сам для себя определяет допустимые безопасные методы авторизации клиентов. СМС это только одно из множества существующих сегодня решений и это решение гораздо более безопасное чем просто пара логин\пароль, но оно не является абсолютно безопасным (как и любое другое) и имеет некоторые проблемы с надёжностью.

        Если у вас есть претензии к работе банка или другого сервиса вы можете обратиться в поддержку этого сервиса или прекратить им пользоваться.


        1. achekalin Автор
          20.09.2019 16:55

          Другой вопрос, что в таком случае каждый, кто мне хочет отправлять клиентам SMS (т.е. каждый банк, и каждый сайт с 2FA) должны а) иметь на моем телефоне свое приложение и б) отвечать за все эти пуши раздельно, каждый за свой канал, правильно? И все это для того, чтобы обойти потенциально ненадежного оператора на пути оповещения.

          Билайн, случись ему в свое приложение добавить доставку СМС (при задержке такой доставки через СМС) пушами, мог бы разом обеспечить своим клиентам резервный канал связи.

          Но в 3-D Secure пушей нет, там оповещания всегда через SMS, хотя пуши у меня включены. Кстати, не только Альфа, Тиньков (ау, Tinkoff ) точно так же не осилил мне подтверждение операции через пуш организовать, я специально во время этой катавасии проверял, статистики ради.

          Судя по минусам статье и мне, идея «пусть все банки и сервисы независимо решают проблемы доставки кода проверки до клиентов» популярна. Только вот беда: я, лично, в ужасе, сколько приложений чисто для приема пушей я должен будут держать на телефоне, а ведь каждое такое приложение — это еще один вектор атаки или просто высаживания батареи, да и просто — еще одна сущность, которых классик не советовал плодить сверх необходимого.


          1. mm3
            20.09.2019 17:24

            Именно, каждый банк сам должен занимаеться организацией надёжного и безопасного канала для общения с клиентом, для получения пушей это обязано быть брендированое мобильное приложение от этого банка и это верный путь исключения потенциальной угрозы безопасности банковского аккаунта. Или у банка должен быть резервный способ авторизации пользователя.
            3-D Secure только требует от банка авторизовать пользователя для подтверждения платежа, банк сам решает как надёжно это сделать и смс тут не единственный способ.
            Что касается мобильного приложения Альфабанка если вы им уже пользуетесь и не получали кода через пуши, то стоит проверить настройки приложения, эта опция там вроде отключена по умолчанию и обратиться в поддержку банка за разъяснениями в случае чего, поддержка там технически грамотная.

            Мобильный оператор тоже может организовать резервный канал через брендированое мобильное приложение (ещё одно кстати) и насчёт билайна не уверен, но к примеру у мегафона такое приложение есть. Но тут надо учитывать то, на каком этапе возникли проблемы с доставкой и при некоторых условиях мобильное приложение может быть бессильно.


          1. snp
            21.09.2019 22:48

            Но в 3-D Secure пушей нет, там оповещания всегда через SMS

            3D Secure реализуется на усмотрение банка. Например, у Авангарда всегда есть выбор — SMS либо одноразовый код со скретч-карты. Если сумма достаточно большая, то SMS нельзя запросить, можно только ввести код с карты.


            Вообще, скретч карты на мой взгляд — отличное решение. Иногда даже лучше токенов с кнопкой.


            1. ProRunner
              21.09.2019 23:20

              Кстати, все коды со скретч-карты Авангарда занес в KeePass, при необходимости открываю прямо на телефоне и вношу.


          1. remzalp
            23.09.2019 07:36

            а потом РКН забанит сервера Гугла, которые рассылают пуш сообщения, потому что он шлёт пуши телеграмма…
            И вся связка приложений с пуш уведомлениями накрывается медным тазиком :)


      1. dartraiden
        20.09.2019 17:07
        +1

        авторизацией по Google Authenticator
        Попридираюсь — Google Authenticator это лишь частная реализация TOTP, причём, проприетарная и далеко не самая удобная (приложения типа Aegis, andOTP дадут Google Authenticator сто очков вперед).


      1. safari2012
        22.09.2019 04:55

        Все верно. Я не смог попасть в госуслуги.


    1. morr
      20.09.2019 17:41

      У Альфа-банка есть достаточно приличное мобильное приложение, которое готово доставлять авторизационные коды через пуш-уведомления заместо смс.

      К сожалению помимо авторизационных кодов их приложение вам будет ещё регулярно доставлять пуши с рекламой. Держать эту спамилку на телефоне себе дороже.


      1. mm3
        20.09.2019 17:55

        Рассылка рекламы конечно не исключена, но, в отличии от смсок и сообщений со всяких социальных сетей, происходит она пока настолько нерегулярно, порядком пары сообщений в год, что можно простить эту маленькую шалость маркетинговому отделу. Меня больше раздражают рекламные звонки из того же банка, но с этим бороться значительно сложнее.


    1. Schavelev
      20.09.2019 18:01

      А чтобы включить push в приложении (если они были выключены), надо… ввести код из sms сообщения.


    1. VMarkelov
      21.09.2019 18:20

      Я понимаю, что почти у каждого первого смартфон с гигабайтами на борту, но вот у меня сломался и я купил, чтобы иметь доступ к банку, простую звонилку на замену. На ней ней какая-то своя «ОС» и памяти несколько десятков мегабайт всего. Так что, приложение не всегда выход и доступно только СМС :) Хотя, соглашусь, для сегодня такая ситуация — редкость.


  1. viordash
    20.09.2019 15:48
    +2

    А упоминание почты России это сродни «толерантности киноиндустрии»?


    1. achekalin Автор
      20.09.2019 23:55

      Что вы имеете в виду? Я про ПР только из того, что у них почта бумажная, и смс, распечатанная оператором связи и отправленная таким способом мне, придет ко мне сильно после того, как сессия ожидания ввода кода из смс в банковском ЛК истечет.


      А что за толерантность вы имеете в виду, интересно же!


      1. viordash
        21.09.2019 01:00

        у меня сработал «сигнализатор» на, уже практически возведенного в степень интернет мема, сравнения почты с чем-то медленным. И поэтому сравнил с кино, имхо где ради шумихи/хайпа, подменяют актеров на «других».
        А если вы имели ввиду простую классическую почту, то пардон.


  1. D1abloRUS
    20.09.2019 16:12

    Приехал сегодня на заправку, а тут такой сюрприз, ладно чет в кармане завалялось


  1. tvr
    20.09.2019 16:23

    У меня сейчас вообще концерт на работе по этому поводу.
    Налоги не могут отправить. Альфа+Билайн.
    Вместо того, что бы тащить бумажные платёжки ножками в банк — идет выяснялово кто виноват. Агррх.
    А я билеты в кино купить не могу — хотел пойти поплеваться на последнего Рэмбу, и тут такая подстава.


    1. Belking
      20.09.2019 16:25

      Нам с банком больше повезло, по одной из организаций не был настроен резервный метод, дак они оперативно поменяли номер для смс-ок.


  1. anton_tereshko
    21.09.2019 07:57

    тестировали же 10 лет назад карточки для CNP транзакций habr.com/ru/post/59807/
    почему в свет не пошли — не ясно. Можно было бы использовать для одноразовых кодов как-раз.


  1. VolCh
    21.09.2019 13:27

    Странно, что никто не упомянул о доставке таких сообщений посредством мессенджера. В России это совсем не используется? У моего банка (Украина) СМС для всех паролей и уведомлений лишь резервный канал. Основной — Viber.


  1. slavae
    22.09.2019 13:32

    Похоже, на СМС в Билайн-разработке посадили юниора. Или индусов наняли… Мне тут пораньше, 16 сентября, пришли сразу две одинаковых смс от них

    Напоминаем, что null с Вашего счета спишется абонентская плата по тарифу, а также плата за дополнительные сервисы. Рекомендуем заранее пополнить баланс на сумму null руб.


    1. achekalin Автор
      22.09.2019 14:21

      Блюющего единорога на них нет!


  1. inkelyad
    22.09.2019 21:08

    Вообще говоря, и смарфоны с NFC стали появляться даже в бюджетных сегментах, и карточки банки выдают все чаще с тем же NFC. Поэтому 2FA у банка должна выглядеть как "приложил банковскую карту к смартфону". В конце концов именно для целей аутентификации в банковскую карту чип встроен.


  1. keydon2
    22.09.2019 22:13
    -1

    Смс не являются и не являлись надежными и/или безопасными средствами доставки. Да ещё и не особо удобные и дешёвые.
    Хватит их использовать (ну разве опционально в последнюю очередь).


    1. achekalin Автор
      23.09.2019 11:04

      Да, но и Дума наша, которая порывается номер телефона объявить ID гражданина, и сотовые операторы, которые таким образом обретают влияние МВД (передали кому-то номер гражданина без его ведома — «ой, техническая ошибка, но уже ничего не поделать»; в МВД за передачу паспорта не тому гражданину, кажется, отгребут побольше) — у всех разное восприятие.

      Впрочем, ни один мессанджер таковым не является. Секрет в том, чтобы при помощи нескольких независимых ненадежных каналов связи получить один надежный канал. Минус в том, что выпадание одного из каналов — и в итоге не можешь никуда войти.


  1. wyp4ik
    23.09.2019 13:06

    Что-то сдает билайн последнее время.
    Неделю назад, у них была проблема с сетью, из-за которой по всей стране не работали переносные симочные терминалы сбербанка как минимум… теперь смс… вроде серьезная компания, а косяки…