Особенности национальной SMS-авторизации

в 10:17, , рубрики: sms, sms-сервис, sms-сервисы, Анализ и проектирование систем, информационная безопасность, Тестирование IT-систем, Тестирование веб-сервисов

SMS-пароли уже давно вошли в нашу жизнь как сравнительно удобный (особенно, если сравнивать с отправкой документов «Почтой России») способ дистанционного подтверждения личности. Способ этот, безусловно, не идеальный, поскольку успешность процесса доставки SMS зависит от корректности взаимодействия нескольких действующих лиц. Как правило, это: отправитель — сотовый оператор получателя — получатель. Поэтому на страницах сети Интернет можно найти 1000 и 1 ответ на вопрос «Почему не приходят SMS». Но, готов поспорить, что с такой оригинальной причиной как та, о которой я собираюсь сейчас вам поведать, вы еще не сталкивались...image
Как-то так получилось, что мое желание поделиться полезной информацией вылилось в целое эссе, поэтому, если Вы не особо любите описания чужих душевных терзаний, то можете смело их пропустить, перейдя непосредственно к развязке.

Прелюдия

Начнём с того, что вот уже несколько лет я занимаюсь исследованиями рынка доменных имен. За это время я посвятил различным его проблемам пару магистерских диссертаций и ряд публикаций в научных журналах. При этом, я стремлюсь отличаться от рядовых «исследователей», публикующих, за отсутствием собственного опыта, вольные пересказы чужих работ. Поэтому часто провожу собственные эксперименты и, в связи с этим, являюсь клиентом целого ряда веб-сервисов, специализирующихся на регистрации доменных имен.

Офисы этих сервисов располагаются, главным образом, в столице, а живу и работаю я в славном городе Ростове-на-Дону. Соответственно, каждый раз, когда в рамках какого-либо «эксперимента» мне было необходимо передать права на доменное имя другому лицу, мне требовалось придумать как с минимумом финансовых и временных издержек подтвердить свою личность, без поездки в наш стольный град.

Здесь нужно сказать, что у ростовских нотариусов существует какой-то картельный сговор. Они все как один утверждали, что не могут заверить подлинность моей подписи под набранным мною текстом на листе А4 (хотя в их прайсах присутствовала такая услуга, стоимостью в 100 рублей), а просто таки обязаны оформить этот текст на гербовой бумаге за 1000+ рублей. И сколько ты им не тверди, что московские компании требуют лишь заверить подпись под установленной ими текстовой формулой, а документы на гербовой бумаге им, наоборот, более сложно обрабатывать в рамках их бизнес-процессов, результата это не принесет.

Когда я сетовал на эту ситуацию сотрудникам московских компаний, они утверждали, что в столице подобной проблемы не наблюдается и столичные нотариусы прекрасно заверяют подпись под тем текстом, который они предлагают в качестве типового поручения для передачи прав на доменное имя.

Помимо визита к нотариусу требовалось придумать как отправить документ в столичный офис. Если время позволяло, то это была сравнительно дешевая лотерея с нашей любимой почтой. В то время, как в сжатые сроки приходилось использовать более надежные, но, соответственно, и более дорогостоящие, услуги сервисов по доставке.

Спустя несколько лет крупные сервисы заключили соглашения с веб-студиями в ряде крупных городов (включая Ростов) и делегировали им полномочия по приему поручений на передачу доменных имен. По стоимости эта услуга у веб-студий мало отличалась от нотариального заверения, но позволяла решить проблему с отправкой документов в Москву. Московский офис начинал обрабатывать заявку сразу при получении скана от своего ростовского партнера, что на какое-то время облегчило мне жизнь.

В общем, теперь Вы примерно представляете, как я обрадовался, когда сервисы начали предоставлять возможность безбумажного подтверждения сделок по доменам и процедура подтверждения моей личности стала фактически моментальной и бесплатной.

Для подтверждения сделок посредством SMS-авторизации требовалось заключить специальное соглашение, в котором фиксировался номер на который будут доставляться уведомления и, прописывались взаимные обязательства сторон. Такое соглашение я и заключил в 2015 году с тем сервисом, который куда чаще остальных радовал меня своей ценовой политикой.

Кульминация

Как Вы уже, наверное, догадались, в один прекрасный день, запросив SMS-пароль, я его не получил. Когда и повторная попытка не принесла ожидаемого результата, я решил проверить не блокирует ли доставку SMS какое-либо приложение на смартфоне. Воткнув SIM-карту в обычную «звонилку» я запросил новый код подтверждения, но чуда не произошло.

Подумав, я зашел в личный кабинет на сайте своего сотового оператора и заказал выборку операций, начиная со дня последнего уведомления от данного сервиса, найденного мной на телефоне. После крайнего полученного уведомления какие-либо транзакции от того же отправителя не наблюдались.

Следующим этапом стало обращение в службу поддержки сервиса. Меня уверили, что исправно отправляют все уведомления и даже прислали лог всех транзакций с момента крайнего полученного уведомления. Лог был заверен печатью сторонней организации (SMS-провайдера), у которой сервис приобретал услуги по рассылке уведомлений. Как можно видеть, у всех уведомлений, который я не получил, наблюдался статус «В пути»:

image

Тогда я принялся искать похожие ситуации в которых пользователи не получали SMS-уведомления лишь от какого-то конкретного сервиса (поскольку уведомления от Я.Денег и Сбер.Онлайн мне по-прежнему поступали). Что меня насторожило, во всех случаях, которые мне удалось обнаружить, фигурировал мой сотовый оператор (например: 1, 2). Я описал ситуацию знакомому в штате моего сотового оператора и получил от него следующий комментарий:

Я не уверен, что там применяется фильтрация. Возможно речь идёт о том, что это т.н. A2P-сообщения, по которым заключается межоператорское соглашение. Если такого прямого контракта между сервисом и оператором нет, или нет соглашения с SMS-агрегатором, или контракт прекратил действие, то оператор может не пропускать такие сообщения. Это как один из вариантов. Чтобы СМС как-то фильтровались — таких данных у меня нет. Но если есть подтверждение от оператора, что смс отправлено на другого оператора, то можно отследить шлейф. Должна быть транзакция отправки смс на СМС-Центр.

Полагаю, правильнее всего составить техническую заявку, приложить данные исходящего оператора об СМС и запросить решения от оператора. Оператор либо подтвердит, что не пропускает по какой-то причине, либо скажет, что смс не приходила. Тогда только вариант искать по шлейфу.

Я последовал этому совету и, спустя несколько дней, техподдержка моего оператора ответила мне, что ни одно из сообщений из приложенного мной списка не поступило на их оборудование, и, следовательно, не могло быть заблокировано или отклонено.

Таким образом, я оказался в патовой ситуации, когда отправитель уверял, что исправно отправляет уведомления, а мой оператор утверждал, что они к нему не приходят. Подумав, что ничего не теряю, я переслал ответ оператора в саппорт сервиса с просьбой еще раз проверить не происходит ли сбоев при отправке уведомлений и тут, получил неожиданный ответ…

Развязка

image

Признаюсь, от таких заявлений я на какое-то время впал в ах изумление и мне стоило немалых усилий не заявить сотрудникам сервиса, что они в край ох глубоко неправы. Но, поразмыслив, я пришел к выводу, что сложившаяся ситуация представляет отличную возможность получить опыт личного участия в судебном разбирательстве. А то что я за дипломированный юрист такой, который сам ни с кем не судился?

Итак, что мы имеем: юридическое лицо отказывает мне в оказании услуги на основании того, что другое юридическое лицо, привлекаемое им в качестве исполнителя, не хочет оказывать мне какие-либо услуги, ввиду того, что ранее я сообщал в ФАС о случаях нарушениях законодательства о рекламе, в которых, как оказалось, принимало участие это третье лицо.

В первую очередь на ум пришли положения ст. 426 ГК РФ, в частности:

Отказ лица, осуществляющего предпринимательскую или иную приносящую доход деятельность, от заключения публичного договора при наличии возможности предоставить потребителю соответствующие товары, услуги, выполнить для него соответствующие работы не допускается.

Но потом я вспомнил, что у меня имеется то самое соглашение, оформленное в 2015 году, в котором черным по белому прописано обязательство сервиса отправлять SMS-пароли на тот самый номер. Разумеется, в том же соглашении был прописан и ряд исключений, включая наличие форс-мажорных обстоятельств, но, на мой взгляд, самодурство подрядчика на форс-мажор как-то не тянуло.

Обрадовавшись, что у меня есть законные основания, чтобы привлечь их к ответственности, я поинтересовался у службы поддержки сервиса почтовым адресом для направления претензий. Адрес они сообщили, а через некоторое время сообщили, что урегулировали вопрос с SMS-провайдером, ограничения с моего номера благополучно сняты и я вновь могу наслаждаться благами цивилизации в виде SMS-авторизации.

Но, как вы понимаете, осадочек-то остался! Я потратил немало времени и нервных клеток (причем, не только своих, но и сотрудников моего сотового оператора), а мне даже не принесли извинения. Но это не самое страшное. Меня пугает то, что теперь я никогда не буду уверен в том, что своевременно получу доступ к своему аккаунту. Причем не только на этом сервисе, но и на каком-либо другом. Мой мир больше никогда не будет прежним.

Автор: pragmatik

Источник

Поделиться

* - обязательные к заполнению поля