Pierwszą znaną ofiarą hakerów wykorzystujących Heartbleed jest kanadyjski urząd skarbowy CRA. Kiedy upubliczniono informację o lukach w systemie szyfrowania OpenSSL (to właśnie Heartbleed) 8 kwietnia, administratorzy natychmiast odłączyli serwery CRA i zaczęli wprowadzać poprawki oprogramowania. Ale to nie pomogło.
Według komisarza CRA Andrew Treuscha, ktoś i tak zdołał włamać się do zasobów serwera i wykraść dane. Łupem padło co najmniej 900 numerów ubezpieczenia społecznego. Skopiowano również inne dane „potencjalnie cenne dla biznesu" — poinformował Treusch, ale nie podał żadnych szczegółów.
Serwer służący do rozliczeń podatkowych już działa i jest zabezpieczony. Cała sprawa spowodowała jednak, że urzędnicy przedłużyli termin rozliczenia z 30 kwietnia do 5 maja.
Jak informuje TechMediaNetwork, mniej więcej w tym samym czasie doszło do ataku na brytyjski serwis dla rodziców Mumsnet. Założycielka serwisu Justine Roberts zorientowała się, że coś jest nie tak dopiero gdy zobaczyła na stronie wpisy pochodzące z jej własnego konta. Hakerzy przechwycili jej loginy i hasła korzystając właśnie z Heartbleed.
Mimo, że opisywana luka w OpenSSL jest uznawana za jedną z najpoważniejszych dotąd odkrytych, informacje o jej realnym wykorzystaniu przez przestępców są dość skąpe. Wcześniej jedynie Bloomberg informował, że amerykańska agencja bezpieczeństwa wewnętrznego NSA od dawna zdawała sobie sprawę z istnienia Heartbleed i wykorzystywała to do szpiegowania użytkowników Internetu.
