Um hacker desconhecido ou grupo de hackers colocou um banco de dados online contendo os endereços de e-mail e números de telefone associados a 5.4 milhões de contas do Twitter. O invasor conseguiu recuperar os dados por meio de um bug que já foi corrigido.
O banco de dados é fornecido no Breach Forums e foi descoberto pelo Restore Privacy. Os invasores querem “pelo menos US$ 30,000” pelo banco de dados. O banco de dados não contém senhas, mas contém os endereços de e-mail ou números de telefone ou ambos de um total de 5,485,636 usuários do Twitter. O invasor diz que a violação de dados contém contas de celebridades e empresas. O Restore Privacy conseguiu determinar que o vazamento é autêntico, mas não se a alegação de que nomes famosos estavam nele.
O invasor acessou a vulnerabilidade por meio de uma vulnerabilidade conhecida que já foi corrigida. A vulnerabilidade foi apresentada em 1º de janeiro na plataforma de recompensas de bugs HackerOne por um pesquisador de segurança. Era um bug no cliente Android que exigia que um invasor fizesse uma solicitação POST para a API de integração do Twitter. O pesquisador de segurança descreve o problema em detalhes no HackerOne. O Twitter detectou a vulnerabilidade e a corrigiu em 13 de janeiro. Os detalhes foram publicados em 11 de fevereiro e o pesquisador recebeu uma recompensa de US$ 5040. Não se sabe como o invasor que agora oferece o banco de dados obteve as informações para realizar o hack.