A vulnerabilidade reside na API da própria plataforma, tendo sido concebida para facilitar aos utilizadores o "match" com as pessoas que já conhecessem, através do número de telemóvel.

Segundo o próprio twitter, não era suposto alguém fazer upload de milhões de números de telemóvel e revelar perfis com base nessa informação.

A empresa ficou a par deste problema já em dezembro de 2019, depois de um investigador de segurança ter explorado a mesma falha para conseguir associar aproximadamente 17 milhões de números de telemóvel.

Depois destas ocorrências, a plataforma fez alterações ao endpoint acessível pela API de forma a que já não devolvesse certos nomes de contas nas respostas às queries.

Para evitar que situações destas ocorram com mais frequência, é possível impedir que alguém encontre o perfil da pessoa, navegando à parte de "Descoberta" nas definições da conta e desativando essa opção.

Mais informações: https://www.zdnet.com/article/twitter-says-an-attacker-used-its-api-to-match-usernames-to-phone-numbers/