D'après le chercheur en sécurité David Graham, il y aurait encore plus de 300 000 serveurs qui n'auraient pas colmaté la faille Heartbleed pourtant critique pour nombre d'opérations sensibles et le traitement des données des utilisateurs.
Et il ne s'agit là que de cas confirmé de serveurs présentant la faille, beaucoup ayant certainement échappé au scan de David Graham par des configurations OpenSSL personnalisées ou le blocage de spam.
Le chiffre est surprenant étant donné l'aspect critique de la faille, mais surtout la disponibilité des outils permettant de la combler et leur facilité à être mis en place. De plus, depuis que le bug a été révélé, il devient l'attraction de pirates amateurs ou plus confirmés souhaitant exploiter ce dernier avant qu'il ne disparaisse totalement.
Si beaucoup de grands services comme Google ont mis à jour leurs serveurs presque immédiatement, les structures les plus petites restent la cible d'attaques. Une fois un serveur vulnérable localisé, les pirates peuvent utiliser Heartbleed pour voler des clés privées, récupérer des mots de passe, pirater des sessions d'utilisateurs et accéder à leurs données privées.