Akamai Technologies, vars nätverk hanterar 30 procent av all internettrafik, meddelade under söndagen att en säkerhetsexpert hittat fel i den kod som Akamai påstått skydda företagets kunder mot Heartbleed-buggen.
Därför utfärdar Akamai nu extra säkerhetscertifikat och nycklar som används för krypterad kommunikation mellan kundernas sajter och deras besökare.
"Kort uttryckt har vi haft en bugg", skriver Andy Ellis, som är teknikchef för Akamai, i ett blogginlägg.
Bland Akamais kunder återfinns några av världens ledande banker, medier och e-handelssajter. Företaget, som kör 147 000 servrar i 92 länder är en av är en av tusentals organisationer och företag som använder sig av Openssl:s kryptobibliotek.
Akamais servrar var sårbara för Heartbleed-buggen mellan augusti 2012 och 4 april i år. Men Akamai påstod efter att Heartbleed-buggen uppdagats att företaget ändå kunnat skydda sina kunder tack vare specialskriven kod som hanterar hur kryptonycklar lagras. Den koden släpptes i fredags fritt, som en buggfix för andra att använda.
Akamai: "Vi håller rent på internet".
Men under under söndagen hittade den oberoende säkerhetsforskaren Willem Pinckaers fel i buggfixen. På sin sajt skriver Pinckaers att han hittade felet på 15 minuter. Han kritiserade samtidigt Akamai för att skicka ut felaktiga buggar till Openssl-gemenskapen, samtidigt som företaget hävdade att de har skyddat sina kunder mot Heartbleed-attacken.
Akamais buggfix skyddar inte mot tre av sex kritiska problem som kan uppstå i en RSA-nyckel, som är ett långt nummer som genereras av en algoritm för att skapa krypterade uppkopplingar. Dessa värden kan exponeras med hjälp av Heartbleed-buggen, och gör det möjligt för en förövare att räkna ut privata krypteringsnycklar.
Med en privat SSL-nyckel är det möjligt för en hackare att sätta upp en fejkad sajt som passerar kryptografiska säkerhetsverifikationer. Det gör det möjligt att genomföra olika typer av attacker, samtidigt som den krypterade trafiken är avlyssnad.
Akamai säger sig nu utvärdera Willem Pinckaers fynd.
För två år sedan genomförde en tysk programmerare förändringar av Open SSL och gjorde ett misstag som gjorde det möjligt att avlyssna trafik mellan webbservrar och besökare.
Buggen, Heartbleed, kan användas för att avlyssna lösenord och användarnamn och är en av de allvarligaste buggarna på internet i modern tid. Akamais servrar har varit exponerade för Heartbleed mellan augusti 2012 och den 4 april, enligt Andy Ellis.
Under den perioden har det varit möjligt för förövare att avlyssna lösenord eller stjäla data, exempelvis kakor från webbsessioner. Enligt Ellis så var dock Akamais kunder mindre exponerade för attacker eftersom företaget hade lagt till anpassad kod till Open SSL för tio år sedan som förändrade hur hemliga krypteringsnycklar som används för att skapa SSL-anslutningar lagras.
