Wir nehmen Datenschutz und Sicherheit sehr ernst und haben die wichtigsten Aspekte unseres Handelns in der Hotjar-Wissensdatenbank zu Compliance, Recht und Sicherheit dargelegt.
Bezüglich der jüngsten log4j-Schwachstellen(https://nvd.nist.gov/vuln/detail/CVE-2021-44228) und(https://nvd.nist.gov/vuln/detail/CVE-2021-45046) haben wir am Freitag, den 10. Dezember und Mittwoch, den 15. Dezember 2021, Untersuchungen durchgeführt.
Wir fanden zunächst 2 interne Server, die in unseren CI/CD-Prozessen verwendet wurden und auf denen die betroffenen Bibliotheken vorhanden waren. Die Server wurden aktualisiert und es wurde bestätigt, dass die Bibliotheken nicht mehr verwendet wurden. In der folgenden Woche setzten wir die Überwachung fort und führten Überprüfungen durch, um zu bestätigen, dass die Bibliotheken nicht mehr verwendet werden.
Für einen besseren Kontext: Hotjar verwendet den JVM-Stack im Großen und Ganzen nicht, abgesehen von sehr spezifischen Tools (wie die 2 oben erwähnten Server), oder verlässt sich auf Anbieter wie AWS, um diesen Stack für uns zu verwalten (Opensearch / Kafka).
Ihre Sicherheit und die Ihrer Endbenutzer wurde in keiner Weise beeinträchtigt, und von Ihrer Seite sind keine Maßnahmen erforderlich. Wir werden die Situation weiterhin genau Observe und Sie umgehend und transparent informieren, wenn sich etwas ändert.