Levamos a privacidade e segurança de dados muito a sério e destacamos os aspectos mais importantes do que fazemos na categoria de Conformidade, Privacidade de Dados, Jurídico e Segurança do Centro de Ajuda do Hotjar.
Em relação às recentes vulnerabilidades do log4j (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) e (https://nvd.nist.gov/vuln/detail/CVE-2021-45046), realizamos investigações na sexta-feira, 10 de dezembro de 2021, e na quarta-feira, 15 de dezembro de 2021, respectivamente.
Inicialmente, encontramos 2 servidores internos usados em nossos processos de CI/CD que tinham as bibliotecas afetadas. Os servidores foram atualizados e confirmamos que as bibliotecas não estavam mais sendo utilizadas. Durante a semana seguinte, continuamos monitorando e realizando verificações para confirmar que não encontramos mais nenhum uso da biblioteca.
Para mais contexto, em geral, o Hotjar não utiliza a pilha JVM fora de ferramentas muito específicas (como os 2 servidores mencionados acima) ou depende de provedores como a AWS para gerenciar essa pilha para nós (Opensearch / Kafka).
A segurança sua e de seus usuários finais não foi afetada de forma alguma e nenhuma ação é necessária de sua parte. Continuaremos monitorando de perto a situação e atualizaremos você prontamente e de forma transparente se algo mudar.