De bug werd vandaag ontdekt, maar blijkt al ruim 2 jaar te bestaan. Het staat bekend onder de naam Heartbleed. Via de bug kunnen kwaadwillenden informatie aflezen die via servers wordt verstuurd. Daarbij gaat het ook om gevoelige informatie als wachtwoorden, maar ook iDeal is erdoor getroffen.
Groen slotje
Verkeer dat via de OpenSSL-beveiliging wordt verstuurd is te herkennen aan een groen slotje in de adresbalk van de browser. Naar schatting maakt meer dan de helft van de websites op internet gebruik van OpenSSL, en zijn die websites dus jaren kwetsbaar geweest.
Geen sporen
Ook is niet te achterhalen of het lek is misbruikt, omdat het uitbuiten ervan geen sporen achterlaat. Daardoor lijkt het alsof al het verkeer toch versleuteld werd verstuurd, terwijl dat wellicht niet het geval was.
Er is inmiddels een update voor de bug uitgebracht, maar die moeten serverbeheerders zelf installeren.
UPDATE: De meeste grote websites hebben inmiddels een patch geïnstalleerd om het lek te dichten. Google, Facebook, Twitter, Dropbox, iCloud, Paypal, ze zijn allemaal weer veilig. Ook Nederlandse websites als Marktplaats, KPN-webmail, CZ.nl en Wehkamp zijn ook veilg.
Daarentegen zijn er op moment van schrijven helaas ook nog websites die beter te vermijden zijn, en dat zijn niet de minste: wachtwoordmanagers LastPass en 1Password hebben nog steedsgeen update voor het lek, en ook Yahoo (en daarmee Flickr) zijn nog onveilig.