Nový útok DROWN ohrožuje šifrovanou komunikaci mezi uživateli a webovými servery. Zranitelná je údajně až třetina webových serverů. Kyberlumpi se mohou dostat k uživatelským datům, jako například k uživatelským jménům a heslům, čísel kreditních karet či číslům bankovních účtů.
DROWN využívá téměř 17 let starou chybu ve stále hojně používaném protokolu SSL verze 2. Český Národní bezpečnostní tým doplňuje, že jde o vážnou zranitelnost, která se týká protokolu HTTPS a dalších služeb, které závisí na protokolu SSL a TLS, což jsou klíčové šifrovací protokoly nezbytné pro zabezpečení internetové komunikace. zranitelné mohou být webové stránky, mejlové servery a další služby, které protokoly využívají.
Zranitelné jsou servery, které povolují komunikaci pomocí zastaralého protokolu SSL verze 2, nebo které využívají klíč, který je zároveň používán serverem, který povoluje protokol SSL verze 2. Podle odhadů může být problémem postižena až třetina serverů. Celosvětově se jedná po počty v milionech, v Česku je pak postiženo přibližně 13 tisíc IP adresa (tedy serverů či služeb). Sdružení CZ.NIC všechny provozovatele postižených adres informovalo.
Každý provozovatel webového serveru se může přesvědčit, zda je jeho server DROWNem napadnutelný. Nejjednodušší ochranou je zakázat použití protokolu SSLv2. Některé webové servery, například Microsoft IIS Server, je takto nastaven již v základu. Takto nastaveny jsou i třeba knihovny OpenSSL od verze 1.0.2.g. Uživatelé nemohou pro svou ochranu na straně svého počítače udělat zhola nic, snad kromě toho, že nebudou počítač používat...