Nous prenons la confidentialité et la sécurité des données très au sérieux et avons détaillé les aspects les plus importants de ce que nous faisons dans la catégorie Conformité, Confidentialité des données, Légal et Sécurité dans le Centre d'aide de Hotjar.
En ce qui concerne les récentes vulnérabilités log4j (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) et (https://nvd.nist.gov/vuln/detail/CVE-2021-45046), nous avons mené des investigations le vendredi 10 et le mercredi 15 décembre 2021, respectivement.
Nous avons initialement identifié 2 serveurs internes utilisés dans nos processus CI/CD qui utilisaient les bibliothèques affectées. Les serveurs ont été mis à jour et nous avons confirmé que les bibliothèques n'étaient plus utilisées. Au cours de la semaine suivante, nous avons continué à surveiller et à effectuer des vérifications pour confirmer que nous n'avions trouvé aucune autre utilisation de la bibliothèque.
Pour plus de contexte, dans l'ensemble, Hotjar n'utilise pas la pile JVM en dehors d'outils très spécifiques (comme les 2 serveurs mentionnés ci-dessus) ou ne compte que sur des fournisseurs comme AWS pour gérer cette pile pour nous (Opensearch / Kafka).
Votre sécurité et celle de vos utilisateurs finaux n'ont été en aucun cas affectées et aucune action n'est requise de votre part. Nous continuerons à surveiller étroitement la situation et vous informerons rapidement et de manière transparente si quelque chose change.