D'après le chercheur en sécurité David Graham, il y aurait encore plus de 300 000 serveurs qui n'auraient pas colmaté la faille Heartbleed pourtant critique pour nombre d'opérations sensibles et le traitement des données des utilisateurs.
Le chercheur est arrivé à ce chiffre en réalisant un scan global d'Internet et a constaté que 1,5 million de serveurs utilisaient toujours Heartbeats, l'extension OpenSSL qui a présenté le bug et qui lance régulièrement des requêtes côté client pour vérifier que la connexion avec le serveur est toujours active. Il a également constaté que 318 239 systèmes restaient vulnérables malgré le fracas ayant suivi la découverte de la faille, la psychose des utilisateurs et une vaste campagne de sensibilisation ainsi que la publication d'outils permettant de résoudre les défaillances de sécurité.
Et il ne s'agit là que de cas confirmé de serveurs présentant la faille, beaucoup ayant certainement échappé au scan de David Graham par des configurations OpenSSL personnalisées ou le blocage de spam.
Le chiffre est surprenant étant donné l'aspect critique de la faille, mais surtout la disponibilité des outils permettant de la combler et leur facilité à être mis en place. De plus, depuis que le bug a été révélé, il devient l'attraction de pirates amateurs ou plus confirmés souhaitant exploiter ce dernier avant qu'il ne disparaisse totalement.
Si beaucoup de grands services comme Google ont mis à jour leurs serveurs presque immédiatement, les structures les plus petites restent la cible d'attaques. Une fois un serveur vulnérable localisé, les pirates peuvent utiliser Heartbleed pour voler des clés privées, récupérer des mots de passe, pirater des sessions d'utilisateurs et accéder à leurs données privées.