Problém s děravou šifrovací knihovnou OpenSSL je starý dva roky. Podle dvou nezávislých zdrojů deníku Bloomberg o tom stejně dlouho věděla i americká Národní bezpečnostní agentura a chybu zneužívala ke sledování uživatelů. Oficiálním stanoviskem nicméně zůstává, že Bílý dům ani NSA o chybě Heartbleed neměly tušení.
Tzv. Heartbleed Bug nedávno objevili výzkumníci Googlu a finské společnosti Codenomicon. V kódu OpenSSL se objevila začátkem roku 2012. Potenciální útočník mohl server, který tuto knihovnu využívá k šifrovanému spojení, obelstít tak, aby mu zpět zaslal například výpis z operační paměti, aniž by jej bylo možné vystopovat. Zaslaná data mohou obsahovat privátní klíč serveru, uživatelská jména, hesla apod. Dva roky byl internet vystaven triviální chybě, která má dalekosáhlé následky.
OpenSSL implementovaly největší weby světa včetně Googlu, Facebooku, Twitteru, Yahoo nebo i českého Seznamu, Centra a MojeID. Banky a vládní úřady naštěstí používají jiné, proprietární knihovny. OpenSSL je naproti tomu open source, každý se může do jeho kódu podívat a schopný programátor může chybu odhalit, což se i stalo. Ještě schopnější se ale může dostat to úzké skupinky vývojářů, na nichž OpenSSL skutečně stojí.
Dnes už asi nezjistíme, kdo za chybu může, případně jestli to byl úmysl, či jen běžné nedopatření. Chyby se stávají, ale díky Edwardu Snowdenovi víme, že NSA na lámání šifer staví superpočítače nebo přímo oslabuje kryptoalgoritmy. Proto by nikoho nepřekvapilo, kdyby i za Heartbleedem stál vývojář tajně nasazený americkou rozvědkou.
NSA má sice chránit americké občany, takže by na potenciální chybu měla určitě ihned upozornit. Na druhou stranu ale může děravých systémů využít k dalšímu sledování. Narušením bezpečnosti občanů paradoxně zjistí, jestli náhodou nejsou v nebezpečí.
Zdroje New York Times tvrdí, že prezident Obama přiznal právo NSA, aby v některých případech o nalezené bezpečnostní chybě mlčela. Standardním postupem je chybu odhalit, ale pokud jde o národní bezpečnost nebo prosazování zákonů, nastává výjimka.