Een onbekende hacker of hackersgroep heeft een database online gezet met daarin de e-mailadressen en telefoonnummers van 5.4 miljoen Twitter-accounts. De aanvaller kon de gegevens terughalen via een bug die inmiddels is verholpen.
De database wordt aangeboden op Breach Forums en is ontdekt door Restore Privacy. De aanvallers willen "minstens $ 30,000" voor de database. De database bevat geen wachtwoorden, maar wel de e-mailadressen of telefoonnummers of beide van in totaal 5,485,636 Twitter-gebruikers. De aanvaller zegt dat het datalek accounts van beroemdheden en bedrijven bevat. Restore Privacy kon vaststellen dat het lek authentiek is, maar niet of de claim dat bekende namen erin zaten.
De aanvaller kreeg toegang tot het beveiligingslek via een bekende kwetsbaarheid die inmiddels is verholpen. De kwetsbaarheid werd op 1 januari op bug bounty-platform HackerOne gepresenteerd door een beveiligingsonderzoeker. Het was een bug in de Android-client waardoor een aanvaller een POST-verzoek moest indienen bij de onboarding-API van Twitter. De beveiligingsonderzoeker beschrijft het probleem in detail op HackerOne. Twitter pakte de kwetsbaarheid op en repareerde deze op 13 januari. Details werden op 11 februari gepubliceerd en de onderzoeker ontving een beloning van $ 5040. Het is niet bekend hoe de aanvaller die de database nu aanbiedt aan de informatie is gekomen om de hack uit te voeren.