Door het combineren van twee verschillende kwetsbaarheden in Facebook was het mogelijk om accounts van gebruikers over te nemen, zo heeft het sociale netwerk via het eigen platform laten weten. Het eerste beveiligingslek maakte het mogelijk om het Facebookgebruikers-ID te achterhalen dat bij een opgegeven e-mailadres of telefoonnummer hoort.

Vervolgens was het mogelijk om voor het achterhaalde gebruikers-ID een wachtwoordreset uit te voeren door de verificatiecode te bruteforcen die wordt gebruikt om een telefoonnummer te valideren. Via de wachtwoordreset kon het account worden overgenomen. Verdere details over de aanval zijn niet gegeven. Facebook beloonde de onderzoeker die de kwetsbaarheden rapporteerde met 40.000 dollar. Het bedrijf heeft de beveiligingslekken verholpen en zegt dat er geen aanwijzingen van misbruik zijn gevonden.

Verder maakt Facebook melding van een ander beveiligingslek in de standaardinstelling voor nieuw toegevoegde telefoonnummers of e-mailadressen. Wanneer gebruikers een telefoonnummer of e-mailadres toevoegden kregen ze ten onrechte te zien dat het nummer of e-mailadres alleen voor hen zichtbaar was. Door een bug was het telefoonnummer of e-mailadres echter voor iedereen zichtbaar die als "vriend" was aangemerkt.

Facebook heeft het probleem verholpen en zegt tevens een fix onder andere producten te hebben uitgerold om herhaling in de toekomst te voorkomen. Voor zover bekend is er geen misbruik van de kwetsbaarheid gemaakt om informatie van gebruikers te scrapen. De onderzoeker die het probleem meldde ontving een beloning van 15.000 dollar.