En ukendt hacker eller hackergruppe har lagt en database online med de e-mailadresser og telefonnumre, der er knyttet til 5.4 millioner Twitter-konti. Angriberen var i stand til at hente dataene gennem en fejl, der siden er blevet rettet.
Databasen leveres på Breach-fora og blev opdaget af Restore Privacy. Angriberne vil have "mindst $30,000" til databasen. Databasen indeholder ingen adgangskoder, men indeholder e-mailadresser eller telefonnumre eller begge for i alt 5,485,636 Twitter-brugere. Angriberen siger, at databruddet indeholder beretninger om berømtheder og virksomheder. Restore Privacy var i stand til at fastslå, at lækagen er autentisk, men ikke om påstanden om, at berømte navne var i den.
Angriberen fik adgang til sårbarheden gennem en kendt sårbarhed, som siden er blevet rettet. Sårbarheden blev præsenteret den 1. januar på bug bounty-platformen HackerOne af en sikkerhedsforsker. Det var en fejl i Android-klienten, der krævede, at en angriber lavede en POST-anmodning til Twitters onboarding API. Sikkerhedsforskeren beskriver problemet i detaljer på HackerOne. Twitter samlede sårbarheden op og rettede den den 13. januar. Detaljerne blev offentliggjort den 11. februar, og forskeren blev tildelt en belønning på 5040 USD. Det vides ikke, hvordan den angriber, der nu tilbyder databasen, har fået oplysningerne til at udføre hacket.