Facebook heeft in een blogpost meer uitleg gegeven over het datalek van enkele weken terug, waarbij gegevens van 50 miljoen gebruikers zouden zijn gestolen. Daarbij werd een kwetsbaarheid in de 'View As' functie misbruikt, die je toelaat om te weten hoe je profiel eruitzien vanuit het standpunt van bepaalde andere profielen. Die bug (of reeks bugs) bestond tussen juli 2017 en september 2018, zegt Facebook, en in het lek in kwestie werd ze misbruikt om Facebook access tokens te stelen, waarmee mensen ingelogd blijven in het netwerk. Op die manier konden de daders profielen overnemen.

Facebook schrijft dat het onverwacht veel verkeer begon te zien op 14 september, en dat het tegen 25 september de aanval had geïdentificeerd. Twee dagen later werd het lek gedicht.

Het bedrijf zegt ook dat er minder dan de origineel vermoede 50 miljoen mensen het slachtoffer werden, maar dat het eigenlijke getal eerder in de buurt ligt van 30 miljoen. Voor ongeveer de helft daarvan kregen de daders toegang tot naam en contactgegevens (telefoonnummer of e-mail, afhankelijk van wat zij op hun Facebookprofiel zetten), van nog eens 14 miljoen mensen zijn naam en contactgegevens gelekt, met daarbij ook extra gegevens zoals geslacht , woonplaats, relatiestatus, religie, geboortedatum, toestellen waarmee ingelogd werd op het netwerk, opleiding, werkplek, de laatste tien plaatsen waarin werd 'ingecheckt', welke mensen en pagina's ze volgen en de vijftien meest recente zoekopdrachten in Facebook. Van nog eens 400.000 gebruikers werden de profielen gespiegeld, zodat daders ook de postjes op hun tijdlijn konden zien, hun vriendenlijsten, groepen waar ze lid van waren en de titels van recente Messenger-gesprekken. Alle slachtoffers zullen op Facebook een bericht krijgen met extra informatie.