Tomamos la privacidad y seguridad de los datos muy en serio y hemos detallado los aspectos más importantes de lo que hacemos en la categoría de Cumplimiento, Privacidad de Datos, Legal y Seguridad de Hotjar en el Centro de Ayuda.
En relación a las recientes vulnerabilidades de log4j (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) y (https://nvd.nist.gov/vuln/detail/CVE-2021-45046), realizamos investigaciones el viernes 10 y el miércoles 15 de diciembre de 2021, respectivamente.
Inicialmente encontramos 2 servidores internos utilizados en nuestros procesos de CI/CD que tenían las bibliotecas afectadas presentes. Los servidores fueron actualizados y se confirmó que las bibliotecas ya no estaban en uso. Durante la semana siguiente continuamos monitoreando y realizando verificaciones para confirmar que no encontramos más uso de la biblioteca.
Para más contexto, en general Hotjar no utiliza el stack de JVM fuera de herramientas muy específicas (como los 2 servidores mencionados anteriormente) o depende de proveedores como AWS para gestionar ese stack por nosotros (Opensearch / Kafka).
Su seguridad y la de sus usuarios finales no se han visto afectadas de ninguna manera y no se requiere ninguna acción de su parte. Continuaremos monitoreando de cerca la situación y le actualizaremos de manera oportuna y transparente si algo cambia.