O Twitter revelou na última sexta-feira (05) que um bug de dia zero, agora corrigido, foi usado para vincular números de telefone e e-mails a contas de usuários na plataforma de mídia social.

O Twitter disse que o bug, do qual foi informado em janeiro de 2022, resultou de uma alteração de código introduzida em junho de 2021. Nenhuma senha foi exposta como resultado do incidente.

O atraso de seis meses em tornar isso público decorre de evidências que no mês passado um ator não identificado potencialmente se aproveitou da falha antes da correção para obter informações de usuários e vendê-las nos fóruns de violação.

Embora o Twitter não tenha revelado o número exato de usuários afetados, a postagem no fórum feita pelo agente da ameaça mostra que a falha foi explorada para compilar uma lista contendo supostamente mais de 5,48 milhões de perfis de contas de usuários.