Die entscheidene Stelle in OpenSSL wurde von einem deutschen Programmierer Robin Seggelmann eingebaut, dem man Absicht unterstellen kann. Zumal sich seine Dissertation mit Sicherheitslücken im OpenSSL-Heartbeat befasst und die eigene Schwachstelle übersieht. Vergleichbar mit dem Goto fail ist der Heartbleed ähnlich trival und lässt sich einfach als Flüchtigkeitsfehler leugnen.
Man kann davon ausgehen, dass NSA und andere derartige Sicherheitslücken ausnutzen, selbst wenn damit technische Schwierigkeiten verbunden sind.
OpenSSL ist inzwischen gepatcht und daher sollte man sein Passwort ändern, bei Diensten, die einen dazu auffordern. Sofern angeboten, richtet man Two-Factor Authentication (2FA). Dann ist zusätzlich zum Passwort nämlich noch ein Sicherheitscode einzugeben, den man auf einem zweiten Weg zugestellt bekommt.
Betroffen sind unter anderem Yahoo, bitcasa.com, ezeep.com und ifttt.com
Nicht betroffen sind zum Beispiel apple.com mit allen Diensten, flickr.com und 1password.
Laut golem.de tauscht Verisign ausgestellte Zertifikate kostenlos um. app.net bietet zum Beispiel Two-Factor Authentication mit OTP, einem one-time password ein und kennt für jede App, die sich anmeldet ein eigenes Login.