ミシガン大学、イリノイ大学アーバナ・シャンペーン校、カリフォルニア大学バークレー校、パデュー大学の研究者らは、2014年4月に発覚したOpenSSLのセキュリティ脆弱性(通称Heartbleed)に関して、実際のどの程度のサーバが影響を受けたのか、発表後にどの程度の割合でパッチが適用されていったのか、実際に攻撃を受けたサーバはどの程度あったのかなどを論文「The Matter of Heartbleed (PDF)」として発表した。

調査によれば、Alexaが提供しているトップ100万サイトを調査した結果、HTTPSを有効にしているサイトの実に22%から55%ほどがHeartbleedセキュリティ脆弱性を抱えていたほか、トップ100に絞ってもそのうち44がこの脆弱性を抱えていたと指摘。広域に渡って影響があったことを説明している。

同じ100万サイトのパッチの適用状況については、まずセキュリティ脆弱性が発表されてから2週間ほどで多くのサーバがパッチを適用したと説明。ただし、そこからパッチの適用は頭打ちとなり、2ヶ月経過した後でもそのうちの3%はパッチを適用せずにセキュリティ脆弱性を抱えたままだったと指摘している。

また、Heartbleedセキュリティ脆弱性を抱えたサイトのうち、パッチの適用を実施したサイトが73%に上ったのに対し、証明書の入れ替えを実施したサイトは10%ほどに留まっていたこと、さらに14%のサイトは同じプライベートキーを使い続けているとも指摘している。