Ein unbekannter Hacker oder eine Hackergruppe hat eine Datenbank online gestellt, die die E-Mail-Adressen und Telefonnummern von 5.4 Millionen Twitter-Konten enthält. Der Angreifer konnte die Daten durch einen inzwischen behobenen Fehler abrufen.
Die Datenbank wird in Breach-Foren bereitgestellt und wurde von Restore Privacy entdeckt. Die Angreifer wollen „mindestens 30,000 Dollar“ für die Datenbank. Die Datenbank enthält keine Passwörter, aber die E-Mail-Adressen oder Telefonnummern oder beides von insgesamt 5,485,636 Twitter-Nutzern. Der Angreifer sagt, dass die Datenpanne Konten von Prominenten und Unternehmen enthält. Restore Privacy konnte feststellen, dass der Leak echt ist, aber nicht, ob die Behauptung, dass berühmte Namen darin enthalten seien.
Der Angreifer hat über eine bekannte Schwachstelle, die inzwischen behoben wurde, auf die Schwachstelle zugegriffen. Die Schwachstelle wurde am 1. Januar auf der Bug-Bounty-Plattform HackerOne von einem Sicherheitsforscher vorgestellt. Es war ein Fehler im Android-Client, der einen Angreifer dazu zwang, eine POST-Anfrage an die Onboarding-API von Twitter zu stellen. Der Sicherheitsforscher beschreibt das Problem ausführlich auf HackerOne. Twitter hat die Schwachstelle aufgegriffen und am 13. Januar behoben. Details wurden am 11. Februar veröffentlicht, und der Forscher erhielt eine Belohnung von 5040 US-Dollar. Wie der Angreifer, der die Datenbank nun anbietet, an die Informationen gelangte, um den Hack durchzuführen, ist nicht bekannt.