Странички http://www.kyivstar.net/_sms.html больше не существует, вместо неё появилась замена – http://www.kyivstar.net/_sms_new.html

С этим обновлением пропала возможность автоматизированной (машинной) рассылки SMS на все украинские мобильные сети GSM через www-шлюз Киевстар (СМС с номером отправителя “777“)

Видно, прижучили программеров, сделавших халтуру с _sms.html, которая продержалась “незамеченной” довольно долгое время (сам я пользовался этой дырой с января 2007 года, но это у меня возникла необходимость в то время. Ещё раньше был выпущен плагин для Firefox, позволявший “упростить” отправку СМС с сайта Киевстар – отправитель-человек освобождался от необходимости вводить проверочный код при отправке СМС(!). А существовала дыра, думаю, ещё со времён запуска нового сайта Киевстар от “Студии Артемия Лебедева” пару лет назад).

Т.к. скрывать эту проблему больше нет смысла, расскажу подробнее. Просчёт программистов Киевстар заключался в некорректной реализации функции CAPTCHA на страничке отправки SMS сайта оператора мобильной связи GSM в Украине «Київстар Дж.Ес.Ем.»

CAPTCHA (“Completely Automated Public Turing test to tell Computers and Humans Apart”) призвана предотвратить автоматизированное использование сервисов, предоставляемых в веб. В классическом варианте это выглядит как картинка с числом или текстом, который, по идее, только человек может распознать визуально и ввести в специальное поле для проверки перед предоставлением вожделенной услуги.

Простая, на первый взгляд, идея имеет не совсем тривиальную техническую реализацию, включающую использование сессионных cookies, временное хранилище активных сессий на серверной стороне и соответствующих приёмов программирования.

Что же сотворили специалисты Киевстар? Взяли генератор случайных чисел и простую программку, рисующую картинку с изображением сгенерированного числа. Всё! Никаких вам СУБД, сессионных печений, никаких “излишеств”, а лишь то, что нужно для приличного внешнего вида веб приложения – для сдачи заказчику. Так некомпетентность (или лень) сотрудников приводит к появлению уязвимостей информационных систем и подрыву безопасности.

Немного о контексте, в котором была залатана эта дырочка.

Где-то 1 мая, когда трюк с автоматизированной отправкой СМС ещё работал, было замечено серьёзное улучшение работы родственного сервиса Киевстар – email-sms. Сообщения через шлюз email-sms стали доставляться с небывалой скоростью – до 10 секунд – как у ближайших конкурентов (UMC, Golden Telecom, Beeline/WellCOM), вместо привычных 2-3 минут. Правда, не все. Спорадически бывали задержки, иногда до получаса, хотя в целом впечатление было очень благоприятное.

Шлюз email-sms работал настолько хорошо, что было странно видеть резкую деградацию веб-шлюза в начале июня. Эти два шлюза буквально поменялись местами в смысле скорости доставки сообщений. (К концу месяца, однако, шлюз email-sms стал “тормозить” как в старые добрые времена и даже больше)

Также, в июне участились жалобы от абонентов других (не-Киевстар) операторов на SMS-спам с номера 777.

И наконец-то произошло неизбежное. Чёрный вход в сеть Киевстар был закрыт.

P.S.
Борьба со спамерами – благое дело, однако компания Киевстар могла бы подумать и о легитимных пользователях. Я, например, использовал обходной путь исключительно для рассылки информации “в своём кругу” и исключительно из-за того, что шлюз email-sms с декабря 2006 стал почти полностью непригодным для использования.