Een beveiligingslek in de Android-client van Twitter dat in januari ontdekt én gedicht was, is toch uitgebuit en de accountgegevens van 5,4 miljoen gebruikers staan te koop. Op een populair hackersforum Breached Forums biedt gebruiker "devil" de set van 5.485.636 accounts te aan. Er zouden accounts van beroemdheden, bedrijven en reguliere gebruikers in zitten. De gebruiker biedt ook een monstertje aan. Volgens RestorePrivacy, die het monster onderzocht, vraagt de gebruiker minstens 30.000 dollar voor de dataset.
Het lek werd op 1 januari ontdekt door gebruiker zhirinovskiy. Via het lek zou een aanvaller gegevens kunnen lezen die aan de twitter account zijn gekoppeld, zoals e-mailadres en telefoonnummer, zelfs als dit verborgen had moeten blijven via privacy-instellingen. De ontdekker classificeerde het lek als ernstig en gaf het meteen door aan Twitter. Een aanvaller met basisvaardigheden met programmeren en scripting zou de Twitter gebruikers-database kunnen doorzoeken en een lijst kunnen opbouwen van Twitter accountnamen met verborgen gegevens. Zo'n database -zoals die nu te koop is- kan gebruikt worden voor vervolgaanvallen op de getroffenen. Een cybercrimineel zou allerlei gegevens aan elkaar kunnen koppelen en daarmee andere services proberen te hacken of via direct benaderen gebruikers kunnen benadelen.
Twitter bevestigde het beveiligingslek op 6 januari en betaalde een beloning van 5.040 dollar. Op 13 januari werd het lek gedicht en bevestigde zhirinovskiy dat het probleem was opgelost. Twitter heeft een supportpagina voor als je vermoedt dat jouw account gehackt is, maar er zijn nog geen suggesties voor deze situatie.
