Peretas atau kelompok peretas yang tidak dikenal telah menempatkan database online yang berisi alamat email dan nomor telepon yang terkait dengan 5.4 juta akun Twitter. Penyerang dapat mengambil data melalui bug yang telah diperbaiki.
Basis data disediakan di Forum Pelanggaran dan ditemukan oleh Pulihkan Privasi. Penyerang menginginkan "setidaknya $30,000" untuk database. Basis data tidak berisi kata sandi, tetapi berisi alamat email atau nomor telepon atau keduanya dari total 5,485,636 pengguna Twitter. Penyerang mengatakan pelanggaran data berisi akun selebriti dan perusahaan. Kembalikan Privasi dapat menentukan bahwa kebocoran itu asli, tetapi bukan apakah klaim bahwa nama-nama terkenal ada di dalamnya.
Penyerang mengakses kerentanan melalui kerentanan yang diketahui yang telah diperbaiki. Kerentanan tersebut dipresentasikan pada 1 Januari di platform bug bounty HackerOne oleh seorang peneliti keamanan. Itu adalah bug di klien Android yang mengharuskan penyerang membuat permintaan POST ke API onboarding Twitter. Peneliti keamanan menjelaskan masalah ini secara rinci di HackerOne. Twitter mengambil kerentanan dan memperbaikinya pada 13 Januari. Rincian diterbitkan pada 11 Februari, dan peneliti dianugerahi hadiah $ 5040. Tidak diketahui bagaimana penyerang yang sekarang menawarkan database memperoleh informasi untuk melakukan peretasan.