Nos tomamos muy en serio la privacidad y la seguridad de los datos y hemos resumido los aspectos más importantes de lo que hacemos en la Base de Conocimientos sobre Cumplimiento, Legalidad y Seguridad de Hotjar.
En cuanto a las recientes vulnerabilidades log4j(https://nvd.nist.gov/vuln/detail/CVE-2021-44228) y(https://nvd.nist.gov/vuln/detail/CVE-2021-45046), realizamos investigaciones el viernes 10 y el miércoles 15 de diciembre de 2021, respectivamente.
Inicialmente encontramos 2 servidores internos utilizados en nuestros procesos CI/CD que tenían presentes las librerías afectadas. Se actualizaron los servidores y se confirmó que las bibliotecas ya no se utilizaban. Durante la semana siguiente continuamos la monitorización y realizamos comprobaciones para confirmar que no habíamos encontrado más uso de la librería.
Para más contexto, en general Hotjar no utiliza la pila JVM fuera de herramientas muy específicas (como los 2 servidores mencionados anteriormente) o confía en proveedores como AWS para gestionar esa pila por nosotros (Opensearch / Kafka).
Su seguridad y la de sus usuarios finales no se ha visto afectada en modo alguno y no se requiere ninguna acción por su parte. Seguiremos vigilando de cerca la situación y le informaremos con prontitud y transparencia si algo cambia.