Nós levamos a privacidade e segurança de dados muito a sério e destacamos os aspectos mais importantes do que fazemos na categoria de Conformidade, Privacidade de Dados, Legal & Segurança no Centro de Ajuda do Hotjar.
Em relação às recentes vulnerabilidades do log4j (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) e (https://nvd.nist.gov/vuln/detail/CVE-2021-45046), realizamos investigações na sexta-feira, 10 e quarta-feira, 15 de dezembro de 2021, respectivamente.
Inicialmente encontramos 2 servidores internos usados em nossos processos de CI/CD que tinham as bibliotecas afetadas presentes. Os servidores foram atualizados e confirmamos que as bibliotecas não estavam mais sendo utilizadas. Durante a semana seguinte, continuamos monitorando e realizando verificações para confirmar que não encontramos mais uso da biblioteca.
Para mais contexto, em geral o Hotjar não utiliza o stack JVM fora de ferramentas muito específicas (como os 2 servidores mencionados acima) ou depende de provedores como a AWS para gerenciar esse stack para nós (Opensearch / Kafka).
Sua segurança e a de seus usuários finais não foram afetadas de forma alguma e nenhuma ação é necessária do seu lado. Continuaremos monitorando a situação de perto e atualizaremos você prontamente e de forma transparente se algo mudar.