Miután a hálózati biztonsággal foglalkozó szervezet, a CERT amerikai egysége hétfőn kiadott egy figyelmeztetést, a legnagyobb ingyenes levelezőszolgáltatók október 23-án frissítették rendszereiket, hogy megszüntessék a bennük található sérülékenységet.

A gondra egy amerikai matematikus, Zachary Harris hívta fel a figyelmet – a problémáról és a kezeléséről a javítás után a Wired közölt egy cikket, melyben Harris meséli el a történetet.

A hiányosság egy azonosító technológiában volt, az úgynevezett DomainKeys Identified Mail (DKIM) rendszerben. A DKIM elektronikus aláírást tartalmazó csatolt fájlja arra szolgál, hogy ellenőrizhető legyen a levelezési rendszerekben az, hogy a feladó valós. A számtalan nagy IT-céget is érintő gond az, hogy hiába szerepel a DKIM ajánlásában, hogy az ellenőrzési információk továbbításakor legalább 1024 bites titkosítási kulcsot kell használni, az érintettek, az említettek mellett például még az Amazon, a PayPal, illetve többek között bankok ennél gyengébb, a mai nagy teljesítményű számítógépekkel már viszonylag könnyen feltörhető kulcsot használtak, a Google például 512 biteset.

Harris az említett interjúban elmondta, egy állásra toborzó levelet kapott a Google-tól, és akkor vette észre a hiányosságot. Azt hitte, hogy ez valamiféle kreatív teszt, ezért a gyengeséget kihasználva elküldött egy levelet, mely látszólag Larry Page-től, a Google egyik alapítójától indult, és a másik alapítóhoz, Sergey Brinhez érkezett meg. A matematikus elmondta, hogy egy 384 bites kulcsot laptopja segítségével 24, az 512 biteset az Amazon fizetős webes szolgáltatását igénybe véve 72 óra alatt elő tudja állítani. A Google közvetlenül nem reagált ugyan, de Harris észrevette, hogy két nappal később a cég már 2048 bites kulcsot használt.

A matematikus – miután felfedezte, hogy milyen sok cég érintett – egyrészt a gyenge kulcsokat használó vállalatokat, másrészt a US-CERT-et is értesítette, ennek következményeképp jelent meg az említett figyelmeztetés.