Isang hindi kilalang hacker o grupo ng hacker ang naglagay ng database online na naglalaman ng mga email address at numero ng telepono na nauugnay sa 5.4 milyong Twitter account. Nakuha ng attacker ang data sa pamamagitan ng isang bug na naayos na.
Ang database ay ibinigay sa Breach Forums at natuklasan ng Restore Privacy. Gusto ng mga umaatake ng "kahit $30,000" para sa database. Ang database ay walang mga password, ngunit naglalaman ng mga email address o numero ng telepono o pareho ng kabuuang 5,485,636 na gumagamit ng Twitter. Sinabi ng umaatake na ang data breach ay naglalaman ng mga account ng mga celebrity at kumpanya. Natukoy ng Restore Privacy na ang pagtagas ay tunay, ngunit hindi kung ang pag-aangkin na ang mga sikat na pangalan ay nasa loob nito.
Na-access ng attacker ang kahinaan sa pamamagitan ng isang kilalang kahinaan na mula noon ay naayos na. Ang kahinaan ay ipinakita noong ika-1 ng Enero sa bug bounty platform na HackerOne ng isang security researcher. Isa itong bug sa Android client na nangangailangan ng attacker na gumawa ng POST request sa onboarding API ng Twitter. Inilalarawan ng mananaliksik ng seguridad ang isyu nang detalyado sa HackerOne. Kinuha ng Twitter ang kahinaan at inayos ito noong Enero 13. Na-publish ang mga detalye noong Pebrero 11, at ang mananaliksik ay ginawaran ng $5040 na reward. Hindi alam kung paano nakuha ng attacker na nag-aalok ngayon ng database ang impormasyon para maisagawa ang hack.