Mae grŵp haciwr neu haciwr anhysbys wedi rhoi cronfa ddata ar-lein sy'n cynnwys y cyfeiriadau e-bost a'r rhifau ffôn sy'n gysylltiedig â 5.4 miliwn o gyfrifon Twitter. Llwyddodd yr ymosodwr i adfer y data trwy nam sydd wedi'i drwsio ers hynny.
Darperir y gronfa ddata ar Fforymau Tor-amod a chafodd ei darganfod gan Restore Privacy. Mae'r ymosodwyr eisiau "o leiaf $ 30,000" ar gyfer y gronfa ddata. Nid yw'r gronfa ddata yn cynnwys unrhyw gyfrineiriau, ond mae'n cynnwys cyfeiriadau e-bost neu rifau ffôn neu'r ddau o gyfanswm o 5,485,636 o ddefnyddwyr Twitter. Dywed yr ymosodwr fod y toriad data yn cynnwys cyfrifon enwogion a chwmnïau. Roedd Adfer Preifatrwydd yn gallu penderfynu bod y gollyngiad yn ddilys, ond nid a yw'r honiad bod enwau enwog ynddo.
Cafodd yr ymosodwr fynediad i'r bregusrwydd trwy fregusrwydd hysbys sydd wedi'i drwsio ers hynny. Cyflwynwyd y bregusrwydd ar Ionawr 1st ar blatfform bounty byg HackerOne gan ymchwilydd diogelwch. Roedd yn nam yn y cleient Android a oedd yn gofyn i ymosodwr wneud cais POST i API onboarding Twitter. Mae'r ymchwilydd diogelwch yn disgrifio'r mater yn fanwl ar HackerOne. Cododd Twitter y bregusrwydd a'i atgyweirio ar Ionawr 13. Cyhoeddwyd y manylion ar Chwefror 11, a dyfarnwyd gwobr $ 5040 i'r ymchwilydd. Nid yw'n hysbys sut y cafodd yr ymosodwr sydd bellach yn cynnig y gronfa ddata'r wybodaeth i gyflawni'r darnia.