Le bug est apparu en mai 2017, mais n'a été découvert que le 10 septembre 2018. Il a évidemment été corrigé dans la foulée. Moins de 1 % des comptes sont touchés selon la société.

« Si vous avez interagi sur Twitter avec un compte ou une entreprise travaillant avec un développeur qui utilise l'AAAPI pour fournir ses services, ce bug peut avoir provoqué l'envoi involontaire de certaines de ces interactions à un autre développeur inscrit ». L'AAAPI est l'API d'activité du compte de Twitter.

Une enquête est en cours selon la notification reçue par les utilisateurs concernés (ce qui est le cas d'un de nos comptes) : « Nous n'avons aucune raison de penser que des données envoyées à des développeurs non autorisés aient été mal utilisées » affirme également la société. 

Les développeurs ayant reçu des données auxquelles ils n'auraient pas dû avoir accès sont contactés pour s'assurer « qu'ils respectent leurs obligations en matière de suppression des informations ».