Em 9 de dezembro de 2021, uma vulnerabilidade para Log4j foi lançada publicamente. Log4j é uma biblioteca de registro comumente usada feita pela Apache Software Foundation que é usada em inúmeros aplicativos em todo o mundo. Como os invasores têm tentado explorar a vulnerabilidade, ela se tornou um problema mundial. Desde que tomamos conhecimento dessa vulnerabilidade, avaliamos os aplicativos e sistemas SheerID para determinar se algum deles é potencialmente vulnerável a essa exploração.
Sem impacto para clientes SheerID
As equipes de engenharia e segurança da informação da SheerID confirmaram que todos os seus aplicativos e serviços críticos que acessam os dados do cliente foram atualizados ou não usam uma versão vulnerável desta popular biblioteca de registro. Nenhum dado de verificação do cliente foi perdido ou afetado como resultado desta vulnerabilidade.
O que estamos fazendo
Nossas equipes de segurança da informação e engenharia avaliaram quaisquer impactos potenciais dessa vulnerabilidade serviço por serviço, priorizados por criticidade e níveis de risco. Usando configurações de gerenciamento de dependência, inventamos serviços que usam Log4J como uma dependência direta ou transitiva e confirmamos que não há exploit presente. Além disso, estamos trabalhando com nossos provedores de serviços integrados para garantir que suas soluções tenham sido corrigidas de acordo.
Observamos tentativas de explorar essa vulnerabilidade, mas não observamos nenhuma exploração bem-sucedida em nosso ambiente.
Continuamos monitorando a situação
Determinamos que não há impacto nos sistemas que contêm dados do cliente. Continuaremos avaliando os serviços de baixo risco esta semana e mitigaremos quaisquer sistemas vulneráveis, seja atualizando para uma versão corrigida da biblioteca ou configurando a JVM para não permitir pesquisas, até 12/17/2021.
Se você for um cliente com dúvidas ou preocupações, entre em contato com o gerente de atendimento ao cliente da SheerID. Forneceremos atualizações para esta página conforme necessário.
