Wie een account op Twitter maakt kan, maar hoeft geen telefoonnummer op te geven. Maar de site biedt wel two-factor authentication (2FA) aan. Daarbij krijg je bij het inloggen op een nieuw toestel of een nieuwe browser een sms op je (vooraf ingegeven) telefoonnummer. Dat voorkomt dat hackers die je wachtwoord bemachtigen zomaar kunnen inloggen.

Maar Twitter geeft nu toe dat die telefoonnummers ook beschikbaar waren voor gepersonaliseerde advertenties. Adverteerders kunnen immers een lijst telefoonnummers uploaden, bijvoorbeeld uit hun klantenbestand, en gericht adverteren naar accounts gekoppeld aan die nummers.

Het bedrijf benadrukt dat het om een fout ging en excuseert zich. De fout werd ook rechtgezet op 17 september. Twitter kan niet zeggen hoeveel gebruikers bij de fout betrokken waren.

Twitter is niet de eerste die telefoonnummers voor 2FA misbruikt. Ook Facebook werd begin dit jaar betrapt op de praktijk. Hier beloofde het aanvankelijk het nummer niet door te spelen voor advertenties, wat later in stilte toch gebeurde. Het voornaamste verschil is dat Facebook toen niet met de praktijk zou stoppen. Twitter doet dat wel.