Heartbleed è una vulnerabilità relativa a OpenSSL, il sistema più utilizzato per criptare le comunicazioni online. È stimato che due terzi dei server online ne siano affetti. Vox ha provato a spiegare ai non esperti cosa comporta:
SSL is a popular encryption technology that allows web users to protect the privacy of information they transmit over the internet. […] The majority of SSL-encrypted websites are based on an open-source software package called OpenSSL. […] The SSL standard includes a heartbeat option, which allows a computer at one end of an SSL connection to send a short message to verify that the other computer is still online and get a response back. Researchers found that it’s possible to send a cleverly formed, malicious heartbeat message that tricks the computer at the other end into divulging secret information. Specifically, a vulnerable computer can be tricked into transmitting the contents of the server’s memory, known as RAM.
Molte informazioni private sono immagazzinate nella memoria del server. La persona che effettua questo tipo di attacco potrebbe venire a conoscenza di password, informazioni personali e numeri delle carte di credito. Tuttavia, come scrive Agile — il gruppo di sviluppatori dietro a 1Password —, fino a quando i siti interessati non provvederanno a risolvere il problema, è inutile per gli utenti cambiare qualsiasi password:
You will, at some point, need to change a lot of passwords. But don’t rush to do that just yet. Not every server is affected, and those that are need to fix things at their end before you change your password. If you change your password before the servers fix things, then your new password will also be vulnerable to capture.