Heartbleed, el bug descubierto dentro del software OpenSSL, sigue siendo tema de conversación, sospechas y discusión. Un reporte que circulaba por los medios de prensa señalaba que la NSA conocía esta vulnerabilidad hace más de dos años. Solo para calmar las preocupaciones del momento, la agencia apuntó que recién tuvo conocimiento de Heartbleed cuando fue identificado por las empresas de seguridad.
Desde Inteligencia Nacional se señaló que, cuando las agencias federales descubren una vulnerabilidad en un software comercial o de código abierto, es parte del interés nacional revelar el fallo de un modo responsable antes que retener la información para propósitos de investigación. Sin embargo, existe un proceso de evaluación de vulnerabilidades que involucra varias agencias y puede llevar a la sanción de excepciones en favor de la seguridad nacional o que algún organismo de la ley necesite utilizar el bug.
Las políticas del grupo fueron modificadas por recomendaciones de la Casa Blanca, lo que para muchos ha implicado una autorización del presidente Barack Obama para el uso de vulnerabilidades en ciertos casos. En realidad puede considerarse que las nuevas normas restringen la capacidad de acción de la NSA y otros organismos, pero por otro lado abren la puerta a la implementación en las excepciones.
En diciembre el grupo revisor había recomendado que las vulnerabilidades de día cero sean bloqueados rápidamente en las redes del gobierno y otras redes. El grupo señaló que no tenía conocimiento de que el gobierno estuviera implementando ninguna política para la introducción de puertas traseras en los programas comerciales. Por otro lado se apuntó que el gobierno debe dejar claro que la NSA no trabajará para producir vulnerabilidades en programas de encriptación que guardan el comercio mundial.