Door een fout was het mogelijk voor oudere Twitter-apps om toegang tot privéberichten van gebruikers te krijgen, ook al kregen gebruikers te zien dat de apps geen toegang tot privéberichten hadden. Dat ontdekte onderzoeker Terence Eden, die het probleem bij Twitter rapporteerde.

Applicaties die toegang tot de Twitter-programmeerinterface (API) willen krijgen moeten door Twitter zijn goedgekeurd. Een aantal jaren geleden lekten de officiële Twitter API-keys, waardoor app-ontwikkelaars toch de Twitter-programmeerinterface konden benaderen, ook al had Twitter hun app niet goedgekeurd.

Bij deze apps liet Twitter in het permissiescherm weten dat privéberichten niet door de app konden worden benaderd, maar dat bleek toch mogelijk te zijn. Op deze manier zouden gebruikers kunnen worden misleid. Eden vermoedt dat oudere apps eigenlijk nooit ontwikkeld waren om toegang tot privéberichten te krijgen, maar gedurende de tijd ooit zijn geüpgraded waardoor dit toch mogelijk was.

De onderzoeker meldde het probleem op 6 november van dit jaar bij Twitter, waarna het probleem een maand later door de microbloggingdienst werd verholpen. Twitter zegt dat het alle oude apps heeft geaudit. Voor zijn melding ontving Eden een beloning van bijna 3.000 dollar.