7 апреля об уязвимости объявили широкой публике. После этого, естественно, появилось много злоумышленников, которые, зная про уязвимость, создали программы, которые ее используют, и начали их использовать против сайтов, которые еще не обновились. Поэтому задержка с ликвидацией уязвимости сайтом РЖД - это не есть хорошо.
Но сама уязвимость появилась не 7 апреля, а гораздо раньше - в версии OpenSSL 1.0.1. То есть очень давно (например, версия 1.0.1с была выпущена 23 мяца назад и эта уязвимость в ней уже была). И никто не может гарантировать того, что за это время никто про эту уязвимость из "нехороших людей" не знал. Поэтому утечка данных могла произойти у всех, кто пользовался сайтом РЖД не с 7 по 14 апреля, а последние 2 года :). И проблемы могли быть не только с сайтом РЖД, а с большинством других сайтов в Интернете, которые используют протокол https...