Al menos no ha hecho algo como
print "wiiiii prueba prueba 23 8=====D"
Aquí en FL hace un mes lanzaron un amber alert a las 4am poniendo ‘Test’. Las amber alerts son alarmas que lanzan a todos los teléfonos y suenan como si fuera una alarma. Despertaron a todo el estado xD
https://www.instagram.com/p/CrQxIJtufzt/?igshid=MzRlODBiNWFlZA==
En mi antigua empresa alguien se debió de confundir, estábamos trabajando con la aplicación para gestionar incidencias cuando de repente empezaron los contadores desde cero, desapareciendo todas las incidencias previas y lo que estábamos metiendo nuevo, debieron lanzar un borrado donde no debían, lo típico que se comenta de delete form sin el where.
En mi empresa una chica mando datos de uat a production de SDI ( hacienda italiana ).
Basicamente reportó a hacienda facturas (ventas) por valor de 11.7M de euros. Y hacienda las contabilizo como okej..
#43 No nos flipemos ... tendran un formulario de envio de push que usa el equipo de Marketing y donde se tiene q poner el telefono. Lo han puesto sin telefono, o con un asterisco, o a saber, y se ha enviado a todo el mundo.
Vodafone tambien tenia hace mas de 15 años un formulario para mandar SMS a sus clientes, editabas el html en caliente para desbloquear el campo de numero y ponias lo que te daba la gana. Asi mandaba yo SMS a mis amigos gratis. Y Ferrovial tambien tenia push para sus aplicaciones de movilidad y estaba abierto a la gente de marketing ... cuando tenian claro el mensaje, lo mandaban a todo el mundo y listo. Pero no hacian pruebas en "pre y pro", escribian el mensaje y tenian que marcar a quien le llegaba ... a veces se colaba y para todo el mundo.
Ni PRE y PRO tienen los mismos permisos, ni han tenido un fallo gordo de seguridad, ni nada. Tiron de orejas y poco mas.
Yo envié como 20 notificaciones de pago a usuarios con subvenciones aprobadas a correos del entorno de producción, que estaban en 1 json que me pasaron mis jefes hardcodeado en el entorno de desarrollo.
Tardaron 10 min en llamar los usuarios para quejarse de que no les funcionaba el link para cobrar la pasta xD
Si vierais como estan montadas algunas cosas en la administración os ibais a asustar más de uno...
Por cierto 2000 pavos en notificaciones push y mierdas que les ha costado la prueba...
#67 Después de ver en una empresa relativamente importante aplicaciones con los connection string a desa/pre/pro comentados en el código, con la contraseña y todo a pelo, y con el hueco de seguridad precioso a nivel de red donde podías desde local modificar la BD de PRO y acceder a servicios en PRO con dicho connection string, te prometo que me creo cualquier cosa.
Ojalá sea lo que dices por el bien del muchacho xD
#68 BBVA usa AWS para esto, y el coste en AWS es de 0,50$ por millon de notificaciones. Aunque los 40 millones de españoles la tuviesen instalada, no serian mas de 20$
#69 Depende del CI/CD eso es lo mas habitual del mundo, y digo depende del CI/CD porque tampoco es tan "moderno". Como tengas aplicaciones de +10 años, el desarrollador se comia y se guisaba las subidas a entornos. Que ahora el Jenkins esta super establecido, pero eso en 2012 era cosa de brujas.
#71 Je, a saber ... en un proyecto grande, se monto todo bajo microservicios con AWS Lambda. Al preparar los entornos para unos desarrollos lidiando con el cold-start de Lambda, costo tal pastizal que tiramos todo y se volvio a hacer en una maquina EC2 con su servidor de toda la vida escuchando peticiones.
Se tiro una arquitectura completa para volver a montarlo de cero, porque el coste de mantener el Lambda era disparatado, y cuanto mas negocio generaban, mas dinero perdian.
#70 Puedo entender que los string en aplicaciones antiguas estén al aire, pero que haya por red hueco en el firewall a nivel departamental y no personal para que un junior tenga acceso a pro desde local, a mi me parece un peligro importante.
De estas cosas que no importan porque puede agilizar el trabajo bastante tener según que accesos pero que cuando se lía, pues se lía bien liada.
#70 #73 A ver que la encriptacion de credenciales existe desde tiempo inmemoriables, ya no te digo que construyas algo relativamente moderno con Azure Key Vault, Hashicorp Vault, etc. para guardar tokens, passwords, etc. pero coño, encriptar el usuario/contraseña es lo minimo en cualquier CI/CD, aplicacion y similares. Otra cosa es que la gran mayoria de gente que trabaja en IT sea mas vaga que la chaqueta de un guardia.
#58 De estas tengo unas cuentas que he vivido:
- Conocida editorial de libros española a la que le entro un ransomwar y le encriptaron hasta los backups. Acabaron pagando evidentemente.
- Empresa de logistica muy importante de España, tenian que ampliar la BBDD Oracle donde tenian el ERP corriendo y el tecnico añadio el disco en caliente en el servidor y luego al tablespace de BBDD. El tablespace se corrompio y al ir a restaurar la BBDD se encontraron que no podian restaurar ninguno de los backups que tenian, al final terminaron por traer el soporte de Oracle, hacer la ñapa a nivel de tablespace y levantar el ERP como pudieron con la perdida de datos. Resultado final fueron 7 dias sin ERP, camiones parados sin poder salir y millones de euros de perdidas.
#73 No es una cuestión de juniors, es cuestión de pasta.
Te dejas el dinero en un devops, o SRE, o como quiera llamarse ahora, Mas dinero en un equipo de DBA q curse las peticiones. Aún mas dinero en un software que gestione el propio flujo con un equipo de mantenimiento de dicho software. Y por supuesto, mas dinero en un 24/7. O esto va a pasar si o si.
En prácticamente todos los sitios donde he trabajado, tienes una puerta de atrás 'por si acaso', y te hablo de bancos, telefonías, administración pública, servicios, ... Q si, q yo la tenia y nadie mas, pero en algun momento yo me iré de vacaciones, o dejare el proyecto, o ... Y eso se comunicará, porque sera la unica forma de parar un bug en producción q se produce los jueves de luna llena a partir de las 2.00 AM si la empresa no quiere dejarse pasta en que el de sistemas te mande los logs, o el dba te vuelque la info en PRE, pues ...
Y ojo, q tambien conozco quienes lo hacen bien, pero en todos mis años, con todo lo q he visto ... No puedo considerar q sea 'lo comun'.
#75 Por mucho q encriptes el password, y lo protejas con sangre de unicornio. Si no tienes DBA, la final el dev acabara metiendo las credenciales en un Toad, Sqlserver, dbeaver, ... Porque sera la unica forma de no volverse gilipollas y ver q pasa en la DB cuando eso empieza a integrar con otros servicios.
Lo q comentas del tablespace, hace nada estuve con unos de IBM porque de repente la DB se va a tomar por culo, y no persistia los cambios. Solucion: ninguna. Reiniciar todo por la noche, q algo da fallo con el resto de sistemas y ni puta idea, q lo estan mirando. Es para una financiera y estna todos con el culo apretado, porque si falla, se pierde la operativa del día ...
#21 no están hablando de un push a un repo sino de una notificación push, son cosas diferentes pero es comprensible la confusión.
Tal y como leo el mensaje, Jorge no es quien lanza la prueba.
X perosna lanza la prueba porque no sabe cómo mandarla a su móvil y le dice a Jorge que será parte del equipo o el encargado que ese mensaje es de prueba. No?
#79 Jorge es el product owner y alguien de QA o desarrollador ha querido notificar una prueba en el entorno que está Jorge y se habrá colado en producción.
Yo hice un netsend en la universidad y apareció en todos los pcs del dominio de toda la universidad , incluido el profesor queestaba dando la clase en ese momento.
nunca nadie superara mi rm -rf en un clon de la maquina de produccion con las carpetas haciendo referencia a las carpetas de prod en una compañia energetica con 300mil clientes.
- rm -rf
... 10 segundos despues - Que raro, se ha quedado pillada la maquina?
La realidad es que estaba borrando miles de gigas de datos. Lo peor es que hice ctrl + c, y volvi a tirar el comando, a la segunda ya el cerebro me hizo chispita y me di cuenta de lo que estaba pasando en realidad.
