En tredjedel af alle HTTPS-websites er sårbare overfor DROWN angreb
It-sikkerhedseksperter har fundet en måde, hvorpå hver tredje af alle hjemmesider med HTTPS kan kompromitteres. Metoden kaldes https://drownattack.com/ - Decrypting RSA with Obsolete and Weakened eNcryption og kan i styrke sammenlignes med Heartbleed-angrebene fra april 2014.
En version af angrebet udnytter protokol-svagheder ved SSLv2, der indtil nu har været ukendte. Her skal hackeren observere 1000 TLS handshakes, derefter igangsætte 40.000 SSLv2 forbindelser og dekryptere en 2048-bit RSA-nøgle. Dette er allerede blevet udført vha. Amazon EC2 server, hvor hele herligheden kostede 440 dollars i leje for dekrypteringen.
Billigere angreb kan også lade sig gøre ved at anvende teknikken i sammenhæng med en sårbarhed i OpenSSL, der var tilstede i udgaver (releases) fra 1998 til 2015. Dette gøres så hurtigt, at det er muligt for hackere at udføre man-in-the-middle angreb mod moderne browsere.
OpenSSL er dog kommet med https://www.openssl.org/ - OpenSSL version 1.0.2g og 1.0.1s.
Reseachernes undersøgelse af internettet viser, at 38 procent af all HTTPS server (og 22 procent af dem med browser-trust certifikater) er sårbare for angrebsmetoden.