Hai nhà nghiên cứu Marsh Ray và Steve Dispensa đã công bố lỗ hổng TLS (Transport Layer Security) này vào hôm thứ 4 tuần trước sau khi phát hiện các vấn đề an ninh riêng rẽ nhưng có nhiều điểm chung. TLS và người tiền nhiệm của nó là SSL (Secure Sockets Layer), thường được các nhà bán lẻ và các ngân hàng trực tuyến sử dụng để bảo mật giao dịch qua mạng. 

Ray, người cùng Dispensa làm việc cho PhoneFactor, cho biết anh lần đầu phát hiện lỗ hổng này hồi tháng 8, và hoàn thành bản khai thác lỗi cho Dispensa xem vào đầu tháng 9.   

Lỗ hổng trong quy trình chứng thực TLS cho phép hacker tấn công và mạo danh người dùng hợp pháp. Lỗ hổng ẩn trong “khoảng cách chứng thực” của TLS. Trong quá trình chứng thực bằng mật mã, mà bản chất là sự bắt tay giữa máy khách và máy chủ, đã có sự ngắt quãng trong việc máy chủ chứng thực cho máy khách, khiến kẻ tấn công có cơ hội lọt vào dòng dữ liệu.

Ngoài ra, lỗ hổng này còn cho phép tin tặc tấn công máy chủ Https – kết hợp của http và TLS được dùng trong hầu hết các giao dịch tài chính qua mạng. 

Chắc chắn lỗ hổng này sẽ khiến giới công nghệ đau đầu trong một thời gian dài bởi nó còn ảnh hưởng đến cả SSL. 

"Còn về hàng ngàn hệ thống cập nhật phần mềm khác nhau vẫn dựa vào khả năng bảo mật của SSL thì sao?” Paget nói. “Đây là một lỗ hổng ở tầm giao thức và cần phải thay đổi cách hoạt động của SSL và TLS mới sửa được.” 

Sau khi phát hiện ra lỗ hổng, Ray và Dispensa đã công bố phát hiện của họ cho ICASI (  Industry Consortium for the Advancement of Security on the Internet ), một tổ chức công nghệ bao gồm Cisco, IBM, Intel, Juniper Networks, Microsoft và Nokia. Họ cũng báo động cho IETF ( Internet Engineering Task Force  ) và nhiều dự án áp dụng SSL nguồn mở khác.  

Hôm 29/9, các nhóm này đã gặp và quyết định lập một dự án mang tên Project Mogul để xử lý vụ việc. Đầu tiên họ sẽ tập trung vào việc tạo một đuôi giao thức. Trên blog Ray bày tỏ hy vọng sớm được nghe thông báo từ tổ chức này.  

Tại cuộc họp hồi tháng 9, Ray và Dispensa cũng được thông báo rằng nhóm nghiên cứu của IETF TLS Channel Bindings cũng đang tiến hành một nghiên cứu tương tự về giao thức TLS. 

Đến thứ 4 tuần trước, Martin Rex, thành viên của nhóm nghiên cứu IETF TLS Channel Bindings đã công bố lỗ hổng TLS trên Microsoft IIS. Lỗ hổng này giống hệt với lỗ hổng Ray đã tìm ra, được nhà nghiên cứu an ninh HD Moore công bố trên Twitter.

Ray và Dispensa quyết định rằng lỗ hổng này có ảnh hưởng lớn đến toàn bộ giới công nghệ, vì thế họ đã công bố toàn bộ những phát hiện của mình.