Wir nehmen den Datenschutz und die Sicherheit sehr ernst und haben die wichtigsten Aspekte unserer Maßnahmen in der Kategorie Compliance, Datenschutz, Recht & Sicherheit im Hilfe-Center von Hotjar zusammengefasst.
In Bezug auf die kürzlich aufgetretenen log4j-Sicherheitslücken (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) und (https://nvd.nist.gov/vuln/detail/CVE-2021-45046) haben wir Untersuchungen am Freitag, den 10. und am Mittwoch, den 15. Dezember 2021 durchgeführt.
Wir haben zunächst 2 interne Server in unseren CI/CD-Prozessen gefunden, die die betroffenen Bibliotheken enthielten. Die Server wurden aktualisiert und bestätigt, dass die Bibliotheken nicht mehr verwendet wurden. In der folgenden Woche haben wir weiterhin Überwachungen durchgeführt und Tests durchgeführt, um sicherzustellen, dass keine weitere Verwendung der Bibliothek gefunden wurde.
Zur weiteren Kontextualisierung verwendet Hotjar im Allgemeinen nicht den JVM-Stack außerhalb von sehr spezifischen Tools (wie den oben genannten 2 Servern) oder verlässt sich auf Anbieter wie AWS, um diesen Stack für uns zu verwalten (Opensearch / Kafka).
Ihre Sicherheit und die Ihrer Endbenutzer wurden in keiner Weise beeinträchtigt und es ist keine Maßnahme Ihrerseits erforderlich. Wir werden die Situation weiterhin genau überwachen und Sie umgehend und transparent informieren, wenn sich etwas ändert.