L'utente di Hackernews eastdakota (probabilmente Matthew Prince) è l'amministratore delegato e co-fondatore di CloudFlare (secondo il HN bio) e ha dichiarato pubblicamente che :
One of the individuals who discovered the [Heartbleed] bug contacted
us as a large provider of SSL termination services. We were asked not
to further disclose the details until it was officially patched and
announced by OpenSSL. The official announcement occurred today after
which we put up a post to let our customers know that they were
protected.
E :
...we held the post informing our customers that they were protected
from the bug until after it was officially announced by the
organizations that had discovered it as well as by OpenSSL
E anche :
The bug was discovered by a researcher at Google and three engineers
at Codenomicon.
Crediti :
The vulnerability was first reported to OpenSSL by Neel Mehta from
Google Security. Matti Kamunen, Antti Karjalainen and Riku Hietamäki
from Codenomicon Oy reported the vulnerability to NCSC-FI, who
reported it in turn to OpenSSL. NCSC-FI would like to thank
Codenomicon for reporting and analysing the vulnerability.
Il sito heartbleed.com è registrato su Codenomicon
Domain Name: HEARTBLEED.COM
Registrar URL: http://www.godaddy.com
Registrant Name: Marko Laakso
Registrant Organization: Codenomicon Oy
Quindi, passando da ciò che Matthew ha detto, sembra che la prima divulgazione pubblica sia stata l' Advisory sulla sicurezza di OpenSSL o heartbleed.com, e il resto è storia.
Il post sul blog di Cloudflare ha 21 ore al giorno d'oggi, con il post di Hackernews ora a 20 ore, quindi gli annunci iniziali di OpenSSL / heartbleed.com probabilmente non sono molto più vecchi di quello.
Modifica: heartbleed.com ora afferma:
Advisory sulla sicurezza di OpenSSL (pubblicato il 7 aprile 2014, ~ 17: 30 UTC)
Inserimento nel blog di Cloudflare (pubblicato il 7 aprile 2014, ~ 18: 00 UTC)
heartbleed.com (pubblicato il 7 aprile 2014, ~ 19: 00 UTC)