Salah satu kerentanan paling terkenal pada pertengahan 2010 disebut "Heartbleed". Heartbleed sangat serius karena perangkat lunaknya mempengaruhi "OpenSSL", perpustakaan kriptografi utama untuk koneksi HTTPS, yang sangat banyak digunakan. Lebih buruk lagi, kerentanan telah ada di OpenSSL selama lebih dari dua tahun sebelumnya itu ditemukan, dipublikasikan, dan ditambal, yang berarti banyak orang menggunakan yang rentan Versi: kapan.
Heartbleed adalah kerentanan kebocoran data pada ekstensi detak jantung yang ketika dieksploitasi membocorkan data dari RAM dari server ke klien. Ekstensi detak jantung digunakan untuk menjaga koneksi antara server web dan klien tanpa membuat permintaan halaman normal.
Dalam kasus OpenSSL, klien mengirim pesan ke server dan menginformasikan server berapa lama pesannya, hingga 64KB. Server kemudian seharusnya menggemakan pesan yang sama kembali. Namun, yang terpenting, server sebenarnya tidak memeriksa apakah pesan itu selama klien mengklaimnya. Ini berarti klien dapat mengirim pesan 10KB, mengklaim itu 64KB dan mendapatkan respons 64KB, dengan 54KB ekstra terdiri dari 54KB RAM berikutnya, tidak peduli data apa yang disimpan di sana. Proses ini divisualisasikan dengan baik oleh
Komik XKCD #1354.
Gambar milik xkcd.com.
Dengan membuat banyak permintaan detak jantung kecil, dan mengklaim bahwa itu adalah permintaan besar, penyerang dapat membuat gambaran sebagian besar RAM server dengan menyatukan tanggapan. Data yang disimpan dalam RAM yang dapat bocor termasuk kunci enkripsi, sertifikat HTTPS, serta data POST yang tidak terenkripsi seperti nama pengguna dan kata sandi.
Catatan: Ini kurang terkenal tetapi protokol detak jantung dan eksploitasi juga bekerja di arah lain. Server jahat dapat dikonfigurasi untuk membaca hingga 64KB memori pengguna per permintaan detak jantung.
Masalah ini ditemukan oleh beberapa peneliti keamanan secara independen pada tanggal 1 April 2014 dan diungkapkan secara pribadi ke OpenSSL sehingga tambalan dapat dibuat. Bug tersebut dipublikasikan ketika patch dirilis pada tanggal tujuh April 2014. Solusi terbaik untuk mengatasi masalah ini adalah dengan menerapkan tambalan, tetapi juga memungkinkan untuk memperbaiki masalah dengan menonaktifkan ekstensi detak jantung jika tambalan segera bukanlah pilihan.
Sayangnya, meskipun eksploitasinya bersifat publik dan umumnya dikenal, banyak situs web masih tidak segera memperbarui, dengan kerentanan yang kadang-kadang masih ditemukan bahkan bertahun-tahun kemudian. Hal ini menyebabkan sejumlah contoh eksploitasi yang digunakan untuk mendapatkan akses ke akun atau membocorkan data.