Angripare har utnyttjat svagheter i det sociala nätverkets it-infrastruktur som gjort att de har kunnat ta över användarkonton. Intrånget upptäcktes i tisdags, den 25 september, och sedan dess har företaget arbetat med att åtgärda problemet.
Enligt Facebook uppkom sårbarheten i och med en uppdatering som gjordes i juli 2017. Hackarna har utnyttjat en bugg i en funktion som heter "visa som" för att ta över kontona. Funktionen tillåter användare att se hur deras profilsida ser ut för andra personer.
Information läckt
Hackarna har fått tillgång till så kallade access tokens, vilket är en slags digitala nycklar som gör att användare inte behöver skriva in sina lösenord varje gång de öppnar Facebook i ett nytt webbläsarfönster.
- Vi vet ännu inte om något av kontona har använts felaktigt. Så här långt visar utredningen att dessa "access tokens" inte har använts för att skicka privata meddelanden eller göra inlägg. Men det här kan ändras när vi vet mer, säger Facebooks vd och grundare Mark Zuckerberg under ett konferenssamtal som TT deltog i.
Användare kan även ha fått sin privata information stulen, som till exempel adressuppgifter. Men i nuläget vet inte företaget om den informationen har läckt ut.
- Det här är allvarligt och vi har redan vidtagit flera åtgärder för att rätta till detta, säger Mark Zuckerberg.
Facebook uppger att läckan nu är tätad och att man har kontaktat rättsvårdande myndigheter som FBI.
- Vi vet ännu inte vem som ligger bakom attacken. Vi arbetar med att få fram fler detaljer om vad som hände och vem som är ansvarig, säger Zuckerberg.
Som en följd av nyheten sjönk Facebooks aktie på USA-börsen med 2,6 procent.
Har stängts av
"Visa som"-funktionen har nu stängts tills vidare under utredningens gång. Alla som har använt den sedan juli 2017, vilket är omkring 90 miljoner människor, har fått sina "access tokens" återställda och kommer att behöva logga in på Facebook igen.
Mark Zuckerberg fick en fråga under konferenssamtalet om vad han sagt i USA:s senat när han frågades ut om Cambridge Analytica-skandalen, då data från 87 miljoner konton delades. Poängen Zuckerberg hade var att om man inte kan vara ansvarsfull med användarnas information så har man inte rätten att tillhandahålla dem tjänster.
- Det här är ett allvarligt säkerhetsproblem och vi tar det på största allvar. Vi har en stor säkerhetsarbete i vårt företag som utreder sådana här saker. I det här fallet är jag glad att vi har upptäckt detta och säkrat kontona. Men det här understryker attackerna som vi utsätts för och att vi måste fortsätta investera i säkerhet och skydda våra användare.