Un hacker ou grupo de hackers descoñecidos puxo unha base de datos en liña que contén os enderezos de correo electrónico e os números de teléfono asociados a 5.4 millóns de contas de Twitter. O atacante puido recuperar os datos a través dun erro que xa foi corrixido.
A base de datos ofrécese nos foros de violación e foi descuberta por Restaurar privacidade. Os atacantes queren "polo menos 30,000 dólares" para a base de datos. A base de datos non contén contrasinais, pero si contén os enderezos de correo electrónico ou os números de teléfono ou ambos dun total de 5,485,636 usuarios de Twitter. O atacante di que a violación de datos contén contas de famosos e empresas. Restaurar privacidade puido determinar que a filtración é auténtica, pero non se a afirmación de que había nomes famosos nela.
O atacante accedeu á vulnerabilidade a través dunha vulnerabilidade coñecida que desde entón foi corrixida. A vulnerabilidade foi presentada o 1 de xaneiro na plataforma de recompensas de erros HackerOne por un investigador de seguridade. Foi un erro no cliente de Android que requiriu que un atacante fixera unha solicitude POST á API de incorporación de Twitter. O investigador de seguridade describe o problema en detalle en HackerOne. Twitter recolleu a vulnerabilidade e solucionala o 13 de xaneiro. Os detalles publicáronse o 11 de febreiro e o investigador recibiu unha recompensa de 5040 dólares. Non se sabe como o atacante que agora ofrece a base de datos obtivo a información para realizar o hackeo.