Một nhóm hacker hoặc hacker không xác định đã đưa một cơ sở dữ liệu trực tuyến chứa các địa chỉ email và số điện thoại liên quan đến 5.4 triệu tài khoản Twitter. Kẻ tấn công có thể lấy dữ liệu thông qua một lỗi đã được sửa.
Cơ sở dữ liệu được cung cấp trên Diễn đàn vi phạm và được phát hiện bởi Khôi phục quyền riêng tư. Những kẻ tấn công muốn "ít nhất 30,000 đô la" cho cơ sở dữ liệu. Cơ sở dữ liệu không chứa mật khẩu, nhưng có địa chỉ email hoặc số điện thoại hoặc cả hai trong tổng số 5,485,636 người dùng Twitter. Kẻ tấn công nói rằng vụ vi phạm dữ liệu có chứa tài khoản của những người nổi tiếng và các công ty. Khôi phục quyền riêng tư đã có thể xác định rằng rò rỉ là xác thực, nhưng không phải là xác nhận rằng những tên tuổi nổi tiếng có trong đó hay không.
Kẻ tấn công đã truy cập vào lỗ hổng thông qua một lỗ hổng đã biết đã được khắc phục. Lỗ hổng bảo mật đã được giới thiệu vào ngày 1 tháng 13 trên nền tảng tiền thưởng lỗi HackerOne bởi một nhà nghiên cứu bảo mật. Đó là một lỗi trong ứng dụng khách Android yêu cầu kẻ tấn công thực hiện yêu cầu ĐĂNG lên API tích hợp của Twitter. Nhà nghiên cứu bảo mật mô tả vấn đề chi tiết trên HackerOne. Twitter đã tìm ra lỗ hổng và sửa nó vào ngày 11 tháng 5040. Thông tin chi tiết được công bố vào ngày XNUMX tháng XNUMX và nhà nghiên cứu đã được thưởng XNUMX đô la. Không biết bằng cách nào mà kẻ tấn công cung cấp cơ sở dữ liệu đã lấy được thông tin để thực hiện vụ hack.