Почему мои финансы зависят от Билайна?

Сегодня с утра творится то, о чем так долго говорили большевики что можно было предвидеть: у Билайна случилась проблема с доставкой (части) СМС, и, внезапно, для клиентов Билайна авторизации через SMS поломалась.



Мы все знаем, как неприятно, когда большая система перестает работать как надо. И чем больше система, тем сложнее её потом бывает запустить. С СМС проблема сегодня минимум с утра, и, наверняка, инженеры компании это время не сидят сложа руки — вот только сотням и тысячам людей, которые не могу войти в сервисы (потому что у них включена 2FA), не могут произвести оплату в интернете (потому что используется «3-D Secure» и иже с ней), могут не получить уведомления о переносе рейса в аэропорту, или оповещение от собственного Zabbix-а — этим людям хочется произнести тихое незлое слово, а то и несколько.

Но пишу я не только, чтобы обвинить в чем-то Билайн. СМС-ки они починят, как только смогут, в этом я уверен. Мне куда интереснее сама ситуация: мы с вами так сильно надеемся на 2FA и вообще «проверки по другому каналу», что забываем о том, что этот канал должен быть надежным, и, в идеале, также дублированным. Иначе мы просто добавляем в систему еще один не абсолютно надежный компонент, и вероятность отказа системы с 2FA оказывается большей, чем того хотелось бы. Да, 2FA — это безопаснее, но (как показывает эта ситуация), нет, не надежнее.

Кажется, сотовым компаниях подумать бы о резервировании доставке СМС еще и через пуши, или еще как-то (кроме отправки через Почту России, конечно). Кстати, интересно, что войти в ЛК Альфа-банка у меня не получилось (не дождался СМС), а вот в ЛК Сбербанк прекрасно вошел (СМС пришла). Возможно, повезло, конечно. Характерно, кстати, что в Альфе и в Тинькове (например) у меня включены пуши, но 3-D Secure при попытке проверить платеж их не использовала — только СМС.

На фото — «полосатый мух, вид сзади». Лично для меня ситуация выглядит сегодня именно так.

UPD: Билайн сообщил, что «только что» с проблемой поборолись. Но очередь на отправку будет еще некоторое время разгребаться, и только потом уже новые СМС будут отправляться без задержки, а пока — лучше набраться терпения.

UPD2: По поводу ответов вида «Если у вас есть претензии к работе банка или другого сервиса вы можете обратиться в поддержку этого сервиса или прекратить им пользоваться» могу сразу уточнить: проблема не в одном банке, а в том, что один элемент (сотовый оператор) может (си смог) поломать работу очень многих людей, т.к. при выходе его из строя подтверждение никак не передается другим методом. И конкретный банк здесь виноват не сильно, они используют СМС как данность, веря в их надежность — так же, как и многие другие компании, не только банки.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Вас задела эта ситуация?

Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 29

    +1
    У Альфа-банка есть достаточно приличное мобильное приложение, которое готово доставлять авторизационные коды через пуш-уведомления заместо смс.
    А если вы вообще не доверяете операторам сотовой связи ищите банки готовые работать с аппаратными OTP ключами, если такие ещё остались.
      0
      Да, это решение для одного банка. Но при 3D Secure, скажем, пуши не летят. а летит СМС — ведь так?

      СМС же не только в банке отправляют. Приведенный 2FA сегодня на каждом втором сервисе есть (и его использование вообще оказывается хорошим тоном). Пока вход в (условно) панель управления провайдера не будет закрываться вместо SMS авторизацией по Google Authenticator — остается уповать только на надежность сотового оператора.
        0
        мой банк (моно, Украина) присылает пуши
          0
          Мне правда пока ещё не приходилось использовать пуш-нотификации для 3D Secure, но я сильно удивлюсь если они не сработают.

          Каждый конкретный банк, как и любой другой сервис, сам для себя определяет допустимые безопасные методы авторизации клиентов. СМС это только одно из множества существующих сегодня решений и это решение гораздо более безопасное чем просто пара логин\пароль, но оно не является абсолютно безопасным (как и любое другое) и имеет некоторые проблемы с надёжностью.

          Если у вас есть претензии к работе банка или другого сервиса вы можете обратиться в поддержку этого сервиса или прекратить им пользоваться.
            0
            Другой вопрос, что в таком случае каждый, кто мне хочет отправлять клиентам SMS (т.е. каждый банк, и каждый сайт с 2FA) должны а) иметь на моем телефоне свое приложение и б) отвечать за все эти пуши раздельно, каждый за свой канал, правильно? И все это для того, чтобы обойти потенциально ненадежного оператора на пути оповещения.

            Билайн, случись ему в свое приложение добавить доставку СМС (при задержке такой доставки через СМС) пушами, мог бы разом обеспечить своим клиентам резервный канал связи.

            Но в 3-D Secure пушей нет, там оповещания всегда через SMS, хотя пуши у меня включены. Кстати, не только Альфа, Тиньков (ау, Tinkoff ) точно так же не осилил мне подтверждение операции через пуш организовать, я специально во время этой катавасии проверял, статистики ради.

            Судя по минусам статье и мне, идея «пусть все банки и сервисы независимо решают проблемы доставки кода проверки до клиентов» популярна. Только вот беда: я, лично, в ужасе, сколько приложений чисто для приема пушей я должен будут держать на телефоне, а ведь каждое такое приложение — это еще один вектор атаки или просто высаживания батареи, да и просто — еще одна сущность, которых классик не советовал плодить сверх необходимого.
              0
              Именно, каждый банк сам должен занимаеться организацией надёжного и безопасного канала для общения с клиентом, для получения пушей это обязано быть брендированое мобильное приложение от этого банка и это верный путь исключения потенциальной угрозы безопасности банковского аккаунта. Или у банка должен быть резервный способ авторизации пользователя.
              3-D Secure только требует от банка авторизовать пользователя для подтверждения платежа, банк сам решает как надёжно это сделать и смс тут не единственный способ.
              Что касается мобильного приложения Альфабанка если вы им уже пользуетесь и не получали кода через пуши, то стоит проверить настройки приложения, эта опция там вроде отключена по умолчанию и обратиться в поддержку банка за разъяснениями в случае чего, поддержка там технически грамотная.

              Мобильный оператор тоже может организовать резервный канал через брендированое мобильное приложение (ещё одно кстати) и насчёт билайна не уверен, но к примеру у мегафона такое приложение есть. Но тут надо учитывать то, на каком этапе возникли проблемы с доставкой и при некоторых условиях мобильное приложение может быть бессильно.
                0
                Но в 3-D Secure пушей нет, там оповещания всегда через SMS

                3D Secure реализуется на усмотрение банка. Например, у Авангарда всегда есть выбор — SMS либо одноразовый код со скретч-карты. Если сумма достаточно большая, то SMS нельзя запросить, можно только ввести код с карты.


                Вообще, скретч карты на мой взгляд — отличное решение. Иногда даже лучше токенов с кнопкой.

                  0
                  Кстати, все коды со скретч-карты Авангарда занес в KeePass, при необходимости открываю прямо на телефоне и вношу.
                  0
                  а потом РКН забанит сервера Гугла, которые рассылают пуш сообщения, потому что он шлёт пуши телеграмма…
                  И вся связка приложений с пуш уведомлениями накрывается медным тазиком :)
                +2
                авторизацией по Google Authenticator
                Попридираюсь — Google Authenticator это лишь частная реализация TOTP, причём, проприетарная и далеко не самая удобная (приложения типа Aegis, andOTP дадут Google Authenticator сто очков вперед).
                  0

                  Все верно. Я не смог попасть в госуслуги.

                  +4
                  У Альфа-банка есть достаточно приличное мобильное приложение, которое готово доставлять авторизационные коды через пуш-уведомления заместо смс.

                  К сожалению помимо авторизационных кодов их приложение вам будет ещё регулярно доставлять пуши с рекламой. Держать эту спамилку на телефоне себе дороже.
                    +1
                    Рассылка рекламы конечно не исключена, но, в отличии от смсок и сообщений со всяких социальных сетей, происходит она пока настолько нерегулярно, порядком пары сообщений в год, что можно простить эту маленькую шалость маркетинговому отделу. Меня больше раздражают рекламные звонки из того же банка, но с этим бороться значительно сложнее.
                    0
                    А чтобы включить push в приложении (если они были выключены), надо… ввести код из sms сообщения.
                      +2
                      Я понимаю, что почти у каждого первого смартфон с гигабайтами на борту, но вот у меня сломался и я купил, чтобы иметь доступ к банку, простую звонилку на замену. На ней ней какая-то своя «ОС» и памяти несколько десятков мегабайт всего. Так что, приложение не всегда выход и доступно только СМС :) Хотя, соглашусь, для сегодня такая ситуация — редкость.
                      +2
                      А упоминание почты России это сродни «толерантности киноиндустрии»?
                        0

                        Что вы имеете в виду? Я про ПР только из того, что у них почта бумажная, и смс, распечатанная оператором связи и отправленная таким способом мне, придет ко мне сильно после того, как сессия ожидания ввода кода из смс в банковском ЛК истечет.


                        А что за толерантность вы имеете в виду, интересно же!

                          0
                          у меня сработал «сигнализатор» на, уже практически возведенного в степень интернет мема, сравнения почты с чем-то медленным. И поэтому сравнил с кино, имхо где ради шумихи/хайпа, подменяют актеров на «других».
                          А если вы имели ввиду простую классическую почту, то пардон.
                        0
                        Приехал сегодня на заправку, а тут такой сюрприз, ладно чет в кармане завалялось
                          0
                          У меня сейчас вообще концерт на работе по этому поводу.
                          Налоги не могут отправить. Альфа+Билайн.
                          Вместо того, что бы тащить бумажные платёжки ножками в банк — идет выяснялово кто виноват. Агррх.
                          А я билеты в кино купить не могу — хотел пойти поплеваться на последнего Рэмбу, и тут такая подстава.
                            0
                            Нам с банком больше повезло, по одной из организаций не был настроен резервный метод, дак они оперативно поменяли номер для смс-ок.
                            +1
                            тестировали же 10 лет назад карточки для CNP транзакций habr.com/ru/post/59807/
                            почему в свет не пошли — не ясно. Можно было бы использовать для одноразовых кодов как-раз.
                              0

                              Странно, что никто не упомянул о доставке таких сообщений посредством мессенджера. В России это совсем не используется? У моего банка (Украина) СМС для всех паролей и уведомлений лишь резервный канал. Основной — Viber.

                                +1
                                Похоже, на СМС в Билайн-разработке посадили юниора. Или индусов наняли… Мне тут пораньше, 16 сентября, пришли сразу две одинаковых смс от них
                                Напоминаем, что null с Вашего счета спишется абонентская плата по тарифу, а также плата за дополнительные сервисы. Рекомендуем заранее пополнить баланс на сумму null руб.
                                  0

                                  Блюющего единорога на них нет!

                                  +1

                                  Вообще говоря, и смарфоны с NFC стали появляться даже в бюджетных сегментах, и карточки банки выдают все чаще с тем же NFC. Поэтому 2FA у банка должна выглядеть как "приложил банковскую карту к смартфону". В конце концов именно для целей аутентификации в банковскую карту чип встроен.

                                    –1

                                    Смс не являются и не являлись надежными и/или безопасными средствами доставки. Да ещё и не особо удобные и дешёвые.
                                    Хватит их использовать (ну разве опционально в последнюю очередь).

                                      0
                                      Да, но и Дума наша, которая порывается номер телефона объявить ID гражданина, и сотовые операторы, которые таким образом обретают влияние МВД (передали кому-то номер гражданина без его ведома — «ой, техническая ошибка, но уже ничего не поделать»; в МВД за передачу паспорта не тому гражданину, кажется, отгребут побольше) — у всех разное восприятие.

                                      Впрочем, ни один мессанджер таковым не является. Секрет в том, чтобы при помощи нескольких независимых ненадежных каналов связи получить один надежный канал. Минус в том, что выпадание одного из каналов — и в итоге не можешь никуда войти.
                                      0
                                      Что-то сдает билайн последнее время.
                                      Неделю назад, у них была проблема с сетью, из-за которой по всей стране не работали переносные симочные терминалы сбербанка как минимум… теперь смс… вроде серьезная компания, а косяки…

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое