Er heeft geen grootschalig misbruik van de Heartbleed-bug in OpenSSL plaatsgevonden voordat de kwetsbaarheid bekend werd gemaakt. Dat stellen onderzoekers van verschillende Amerikaanse universiteiten die het effect van Heartbleed op internet onderzochten en dit rapport (PDF) publiceerden.

Via de Hearbleed-bug was het mogelijk om de inhoud van het geheugen van webservers die OpenSSL gebruikten uit te lezen. Zo was het mogelijk om gevoelige informatie te bemachtigen, waaronder wachtwoorden. Naar schatting was 24% tot 55% van de HTTPS-servers in de Alexa Top 1 miljoen kwetsbaar, waaronder 44 van de Alexa Top 100 sites. Twee dagen na de bekendmaking was 11% van de Top 1 miljoen sites nog steeds kwetsbaar. Bij de Top 100 websites waren 5 websites na de eerste 24 uur kwetsbaar, maar na 48 uur waren alle sites in de Alexa Top 500 gepatcht.

Aanvallen

De onderzoekers onderzochten ook aanvallen op het lek, zowel voor als na de bekendmaking. Hiervoor werd informatie verzameld die sinds november 2013 via honeypots bij verschillende universiteitsnetwerken was verzameld. In deze dataverzamelingen werden geen aanvallen ontdekt. Na de bekendmaking duurde het 21 uur en 29 minuten voordat de eerste aanval werd waargenomen.

In totaal zagen de onderzoekers bijna 6.000 aanvallen van 692 verschillende hosts, die het op 217 hosts hadden voorzien. Zeven aanvallers voerden 103 aanvallen tegen 12 verschillende hosts uit. Ondanks alle aandacht in de eerste weken, bleek dat 2,4% van de HTTPS-hosts na de eerste twee weken nog steeds kwetsbaar was. De onderzoekers boekten wel succes met het waarschuwen van de kwetsbare netwerkaanbieders. Zodra die waren gewaarschuwd steeg het aantal gepatchte systemen in hun adresruimte met 47%.