L'administration fiscale canadienne CRA (Canada Revenue Agency) et le site parental britannique Mumsnet ont reconnu tous deux avoir exposé des données d'utilisateurs à la suite d'attaques conduites via la faille de sécurité Heartbleed. Cette dernière affecte la bibliothèque de chiffrement OpenSSL utilisée par des milliers de sites web. Ce sont les premiers sites à avoir déclaré publiquement qu'ils ont été victimes de l'exploitation de cette vulnérabilité, jugée comme l'une des plus graves identifiées jusque-là.

La Canada Revenue Agency a expliqué sur son site avoir bloqué l'accès public à ses services en ligne mardi dernier dès qu'elle s'est aperçue qu'ils étaient vulnérables, mais sa réaction ne fut pas assez rapide pour empêcher que les données soient exposées. L'intrusion, menée pendant six heures, a conduit au vol des numéros d'assurance sociale d'environ 900 contribuables par un attaquant exploitant la faille Heartbleed.

De son côté, le site Mumsnet (plus d'un million d'utilisateurs enregistrés) a indiqué ce week-end qu'il demandait à ses membres à changer de mot de passe en raison d'une attaque Heartbleed. Il explique avoir été averti de la faille jeudi dernier et avoir appliqué immédiatement le correctif. Néanmoins, il semble que les données avaient déjà été exposées à une intrusion, déplore-t-il.