शीर्षक में दिए गए प्रश्न का संक्षिप्त उत्तर: क्योंकि इसकी आवश्यकता नहीं है। ओपनएसएसएल के इतिहास में सबसे महत्वपूर्ण कमजोरियों में से एक हार्दिक ने हमारे उपयोगकर्ताओं को नहीं मारा। थोड़ा अधिक विस्तृत उत्तर कट के नीचे है।
हम, कई अन्य सेवाओं की तरह, हमारी परियोजनाओं में ओपनएसएसएल लाइब्रेरी का उपयोग करते हैं, लेकिन मेल सहित हमारे अधिकांश सर्वर जोखिम से बाहर थे। हमारी कई परियोजनाओं में, हम ओपनएसएसएल 1.0.0 का उपयोग करते हैं, जो हमले के लिए प्रतिरक्षा बन गया।
फिर भी, हम आराम करने की जल्दी में नहीं थे - पहले हमें बाकी परियोजनाओं की जाँच करनी थी। भेद्यता का दोहन करने वाले एनएएमपी के लिए एक एनएसई स्क्रिप्ट घुटने पर लिखी गई थी, और आधे घंटे के भीतर हमें ओपनएसएसएल के कमजोर संस्करणों के साथ मशीनों की एक सूची मिली।
हमारे बैनर प्रणाली और कई सामग्री परियोजनाओं के सर्वर हमलों के लिए कमजोर पड़ गए। थोड़ी घबराहट, और 8 अप्रैल को 14:00 बजे तक, भेद्यता पैच हो गई थी।
हालाँकि हार्टलेड ने इन प्रोजेक्ट्स पर व्यक्तिगत डेटा, उपयोगकर्ता लॉगिन या पासवर्ड तक पहुँच की अनुमति नहीं दी थी, फिर भी हमलावर यादृच्छिक लोगों के लिए लॉगिन सत्र प्राप्त कर सकते थे, साथ ही साथ हमारे एसएसएल प्रमाणपत्रों से संभावित रूप से समझौता करते थे।
हमने तुरंत एसएसएल प्रमाणपत्रों के साथ सौदा करना शुरू कर दिया। सभी महत्वपूर्ण प्रमाण पत्रों को पहले ही पुनः जारी कर दिया गया है और उन्हें बदल दिया जाएगा, बाकी की जगह पर काम जारी है।
उपयोगकर्ता प्राधिकरण सत्रों के लिए, यहाँ हम सुरक्षित थे। हमारे मिशन-क्रिटिकल प्रोजेक्ट्स तथाकथित सत्र अलगाव को चलाते हैं। इसका सार इस प्रकार है: यदि कोई हमलावर किसी तरह उपयोगकर्ता के प्राधिकरण सत्र को भी अपने कब्जे में लेता है, तो इसकी मदद से वह अन्य पोर्टल परियोजनाओं तक नहीं पहुंच पाएगा।
शायद कोडेनोमिकॉन पूर्वानुमान सच हो जाएगा, और हार्टबल वास्तव में सुरक्षा सेवाओं को मजबूत करने के लिए कई सेवाओं के लिए एक अवसर बन जाएगा। हमारे लिए, इस पूरी कहानी ने शैक्षिक चिंता की भूमिका निभाई - हमने धमकी संदेश का तुरंत जवाब देने और सभी खामियों को जल्दी से दूर करने के लिए प्रशिक्षित किया। ठीक है, और, शायद, हमलावरों को "नहीं पसारन!" बताएं।