Bij een scan van alle ipv4-adressen met behulp van de portscanner masscan zijn nog 318.000 systemen aangetroffen die vatbaar zijn voor de Heartbleed-bug in OpenSSL. Vlak nadat de kwetsbaarheid aan het licht kwam waren 615.000 systemen nog kwetsbaar.
De resultaten van onderzoeker Robert Graham, de ontwikkelaar van de efficiënte portscanner masscan, kunnen er op wijzen dat het aantal kwetsbare servers is afgenomen, maar dat is niet met zekerheid te zeggen. Tijdens de portscan, die zich enkel toelegde op https-poort 443, vond Graham 22 miljoen servers die ssl ondersteunden; bij de vorige portscan waren dat er 28 miljoen.
Het zou kunnen dat firewalls de pogingen van Graham om servers te testen op aanwezigheid van de Heartbleed-bug blokkeerden, of dat hij last heeft gehad van opstoppingen bij zijn eigen internetprovider. Zeker is in ieder geval dat er nog steeds veel servers kwetsbaar zijn voor de Heartbleed-bug.
Opmerkelijk is dat Graham 1,5 miljoen systemen vond waarop de heartbeat-extensie, waarin de kwetsbaarheid aanwezig is, was ingeschakeld. Een dag nadat de bug werd ontdekt, ontdekte hij slechts een miljoen systemen waarop de heartbeat-extensie was ingeschakeld. Graham denkt dat veel sysadmins heartbeat hebben uitgeschakeld op hun server totdat er een fix beschikbaar was.
De Heartbleed-bug kwam een maand geleden aan het licht. De bug laat kwaadwillenden malafide requests naar een OpenSSL-server sturen, waarna die een deel van het interne geheugen terugstuurt als antwoord. Daarmee liggen in theorie privésleutels, onversleutelde wachtwoorden en andere gevoelige informatie op straat.