Tim istraživača je otkrio nevjerojatan sigurnosni propust u enkripcijskim tehnologijama koje koriste milijune poznatih adresa, a među kojima su bili i Amazon, Google i Yahoo. Dok su mnoga odredišta već zakrpala propust, milijune stranica to tek čeka, a korisnici riskiraju gubitak osjetljivih podataka poput e-mail poruka, lozinki i sl.
Heartbleed je svojevrstan bug, rupa u sustavu namijenjenom enkripciji spomenutih osjetljivih podataka. Kada se želite prijaviti na određeno odredište poput banke ili webmail servis obično ćete vidjeti HTTPS i zeleni lokot kojim se signalizira SSL/TLS. OpenSSL zahvaćen ovim propustom je jedna od popularnijih varijanti toga. Heartbleed u suštini omogućava 'čitanje' fragmenata memorije servera koji pokreću OpenSSL.
'Time se ugrožavaju tajni ključevi korišteni za prepoznavanje pružatelja usluga i za šifriranje prometa, imena i lozinki korisnika, baš kao i stvarnog sadržaja. To omogućuje napadačima prisluškivati komunikacije, ukrasti podatke izravno iz tih pružatelja usluga i korisnika - te naposljetku imitirati te usluge i korisnike za dalje kriminalne radnje', stoji na stranici koju je postavio Codenomicon. Prema dosadašnjim informacijama nije jasno je li ovu otkrivenu ranjivost itko zlouporabio, no valja imati na umu da je Heartbleed rupa bila tu već neko vrijeme - pa je teško saznati je li iti jedan servis potpuno zaštićen.
Codenomicon citira istraživanje Netcrafta, u kojem čak dvije trećine svih aktivnih internet odredišta koristi OpenSSL, što ne olakšava situaciju.
Iako bi mnogima prirodna reakcija bila izmjena lozinki, istraživači navode da je takvo što pogrešan potez - napadači će jednostavno imati uvid i u nove podatke. Savjetuje se čekanje dok se ova otkrivena rupa ne zakrpa na najpopularnijim odredištima, koja su već ionako imala zasebne sigurnosne timove koji prate situaciju. Iako su šanse male, većina posjetitelja popularnih odredišta bi trebala biti koliko-toliko sigurna.
