Yngve Pettersen, een software-ontwikkelaar uit Noorwegen, ontdekte in de week nadat de Heartbleedbug al was gepatched dat duizenden servers kwetsbaar waren voor Heartbleed, maar dat daarvan 20 procent nieuw waren en dus kwetsbaar zijn geworden nadat Heartbleed al was ontdekt.

Van de machines die de F5 BigIP-server draaiden was 32 procent pas later kwetsbaar geworden, meldt The Register. Wat betreft de BigIP-servers, daarbij zou het vooral gaan om nieuwe machines die online zijn gekomen.

Petterson in zijn blog: "Maar verder is het moeilijk om aan te geven waar het probleem nu zit, maar een mogelijkheid is dat alle media-aandacht (betreffende Heartbleed) heeft geleid tot bezorgde sysadmins die dachten dat hun systeem onveilig was en gecombineerd met werkdruk en het gevoel "iets te moeten doen" heeft dat geleid tot het upgraden van niet door Heartbleed aangetaste servers naar een nieuwere versie die wel buggy is omdat die niet volledig waren gepatched."

Nieuwe machines blijken niet gepatched

Dat zou betekenen dat er machines worden verkocht die de kwetsbaarheid in OpenSSL nog hebben. Het zou in ieder geval gaan om 2500 servers, waardoor de kosten om dat alles weer te repareren op een totaal van 1,2 miljoen dollar kan komen, berekent Petterson.

"En aangezien mijn onderzoek (met een TLS Prober) niet verder reikte tot 10 procent van alle beveiligde servers op het internet, komt het onnodige patchen tot een kostenpost van meer dan 12 miljoen dollar", extrapoleert hij.