Si uno ha iniciado sesión en un sitio "vulnerable al corazón" utilizando OpenID, por ejemplo, usando Google para iniciar sesión en StackExchange, ¿eso significa que la contraseña de Google ahora también está en riesgo?
OAuth y OpenID no envían su contraseña a los sitios en los que utiliza los proveedores de OAuth / OpenID para iniciar sesión, por lo que no. No, a menos que el ataque se realice en el proveedor de OAuth / OpenID y los servidores del proveedor sean vulnerables a CVE-2014-0160 (el fallo del Heartbleed). Sin embargo, es posible, por supuesto, siempre que los sitios en los que inicie sesión utilizando los proveedores de OAuth / OpenID sean vulnerables a Heartbleed, se pueda filtrar otra información, como su dirección de correo electrónico o la información de la sesión del usuario con la que podría ser secuestrada por el tiempo que es válido para.
Lea otras preguntas en las etiquetas oauth openid heartbleed