2021 közepén a Twitter elismerte, hogy volt egy hiba a közösségi oldal kódjában, aminek köszönhetően rosszindulatú támadóknak lehetősége lett volna kideríteni, hogy kik állnak az álnéven kezelt profilok mögött. A feltételes mód azért szükséges, mivel akkor még tagadták, hogy a mechanikával bárki visszaélt volna a javítás előtt. Egy évvel később azonban felkerült a dark webre egy lista, amivel már muszáj volt foglalkoznia a Twitternek is.
A sérülékenység abban rejlett, ahogy a közösségi oldal kezelte a sikertelen bejelentkezéseket.
Amikor valaki megpróbált belépni e-mail címmel, vagy telefonszámmal, még akkor is, ha rossz jelszót adott meg, a Twitter két dolgot tett:
- Közölte, hogy rossz a jelszó
- Megmutatta a Twitter-profilt, ami ahhoz az e-mail címhez, vagy telefonszámhoz kapcsolódik
Ezzel az egyszerű mechanikával könnyedén kideríthető volt, hogy egyes e-mail címekhez milyen profilok kapcsolódnak. Ez persze nem volt szándékos, mint az később kiderült, hiszen az így begyűjtött adatokat idén valaki a dark weben próbálta meg pénzre váltani.
A Twitter sajnos nem tudta összegyűjteni az összes érintett profilt, arról azonban tájékoztatták a felhasználókat, hogy a hibát kijavították és sűrű bocsánatát kérik mindazoknak, akiknek így fény derült a kilétükre a közösségi oldalon.
