説明するのめんどい http://vividcode.hatenablog.com/entry/twitter-oauth-vulnerability

ユーザーの自衛策として「怪しいリンクをクリックするな」というのは無茶なので、そういった対策が必要なものはバグです、セキュリティホールです。怪しいリンクをクリックできない世界のほうが間違っている。

フィッシングとか言ってしまうと「フィッシングサイトに気をつけましょう」になってしまいます。ユーザーに注意喚起して防ぐものなのか、Twitterやアプリ開発者が対応しなくてはいけないものなのか、区別が付きにくくなります。ハッキリ言うとノイズです。ユーザーが許可してないのにtoken取れるのだからそれはバグです。フィッシングじゃないです。

OAuthの認可ボタンを明示的に押した人であっても「怪しいリンクをクリックしただけだった」と言うでしょう。怪しいリンクもOAuthの認可ボタンも、結局ところ画面の要素クリックするだけなので、そんなものを判断しろというのが無茶なのかもしれません。パソコンに詳しい各位は「本当に怪しいリンクをクリックしただけ」なのか、それとも「よく分からずに重要な操作をしてしまった」のか見極める必要があります。

日本人が「なんじゃこりゃー、やばくねー、マズくねー」とか騒いでても全然伝わってないことがあるので、直らないです。バグ報告をしましょう。

セキュリティ上の問題だと判断したときは https://support.twitter.com/forms/security から送るといいです。通常のバグとか要望よりも優先的に対応してくれるはずです。英語とか適当でも通じます。攻撃コードや具体例があると良いです。