En av de mest kjente sårbarhetene på midten av 2010-tallet ble kalt "Heartbleed". Heartbleed var spesielt alvorlig fordi det var programvaren den påvirket "OpenSSL", det viktigste kryptografiske biblioteket for HTTPS-tilkoblinger, som er veldig mye brukt. For å gjøre vondt verre hadde sårbarheten vært til stede i OpenSSL i mer enn to år før det ble oppdaget, publisert og lappet, noe som betydde at mange mennesker brukte en sårbar versjon.
Heartbleed var en sårbarhet for datalekkasje i heartbeat-utvidelsen som når den ble utnyttet lekket data fra RAM fra serveren til klienten. Heartbeat-utvidelsen brukes til å opprettholde en forbindelse mellom webserveren og klienten uten å gjøre en normal sideforespørsel.
Når det gjelder OpenSSL, sender klienten en melding til serveren og informerer serveren om hvor lang meldingen er, opptil 64KB. Serveren er da ment å ekko den samme meldingen tilbake. Avgjørende er det imidlertid at serveren faktisk ikke sjekket at meldingen var så lang som klienten hevdet den var. Dette betydde at en klient kunne sende en 10KB melding, hevde at den var 64KB og få et 64KB svar, med de ekstra 54KB som bestod av de neste 54KB RAM, uansett hvilke data som ble lagret der. Denne prosessen er godt visualisert av
Bilde med tillatelse fra xkcd.com.
Ved å komme med mange små hjerteslagsforespørsler og hevde at de var store, kunne en angriper bygge et bilde av det meste av serverens RAM ved å sette sammen svarene. Data som er lagret i RAM som kan lekke inkluderer krypteringsnøkler, HTTPS-sertifikater, samt ukrypterte POST-data som brukernavn og passord.
Merk: Det er mindre kjent, men hjerteslagprotokollen og utnyttelsen fungerte også i den andre retningen. En ondsinnet server kan ha blitt konfigurert til å lese opptil 64 KB brukerminne per hjerteslagforespørsel.
Problemet ble oppdaget av flere sikkerhetsforskere uavhengig den første april 2014 og ble avslørt privat til OpenSSL slik at en patch kunne opprettes. Feilen ble publisert da oppdateringen ble utgitt den syvende april 2014. Den beste løsningen for å løse problemet var å bruke lappen, men det var også mulig å rette opp problemet ved å deaktivere hjerteslagforlengelsen hvis lapping umiddelbart ikke var et alternativ.
Dessverre, til tross for at utnyttelsen er offentlig og generelt godt kjent, oppdaterte mange nettsteder seg fortsatt ikke umiddelbart, og sårbarheten ble fortsatt av og til funnet selv år senere. Dette førte til at en rekke tilfeller av utnyttelsen ble brukt for å få tilgang til kontoer eller lekke data.