Un hacker o un gruppo di hacker sconosciuto ha messo online un database contenente gli indirizzi e-mail e i numeri di telefono associati a 5.4 milioni di account Twitter. L'attaccante è stato in grado di recuperare i dati attraverso un bug che da allora è stato corretto.
Il database è fornito su Breach Forums ed è stato scoperto da Restore Privacy. Gli aggressori vogliono "almeno $ 30,000" per il database. Il database non contiene password, ma contiene gli indirizzi e-mail o i numeri di telefono o entrambi per un totale di 5,485,636 utenti Twitter. L'attaccante afferma che la violazione dei dati contiene account di celebrità e aziende. Restore Privacy è stato in grado di determinare che la fuga di notizie è autentica, ma non se l'affermazione che vi fossero nomi famosi.
L'hacker ha avuto accesso alla vulnerabilità attraverso una vulnerabilità nota che è stata poi risolta. La vulnerabilità è stata presentata il 1° gennaio sulla piattaforma di bug bounty HackerOne da un ricercatore di sicurezza. Si trattava di un bug nel client Android che richiedeva a un utente malintenzionato di effettuare una richiesta POST all'API di onboarding di Twitter. Il ricercatore di sicurezza descrive il problema in dettaglio su HackerOne. Twitter ha rilevato la vulnerabilità e l'ha riparata il 13 gennaio. I dettagli sono stati pubblicati l'11 febbraio e il ricercatore ha ricevuto una ricompensa di $ 5040. Non è noto come l'attaccante che ora offre il database abbia ottenuto le informazioni per effettuare l'hacking.