Agora já corrigido, o bug  estava relacionado com uma falha na ferramenta de importação de contatos. Assim, o atacante conseguia ter acesso às informações pessoais de tantos usuários que quisesse.

A falha de segurança deu acesso a informações privadas, por exemplo, o número de telefone e o nome real do utilizador. Contudo, o Facebook já confirmou a existência da vulnerabilidade e garantiu que esta foi corrigida.

A descoberta se deu em agosto por um investigador, @ZHacker13. De acordo com a própria rede social, a exploração do bug poderia ter permitido a um agente malicioso associar números de telefone a detalhes do utilizador e fazer uso abusivo dessas informações. A única coisa que um cracker necessitaria era associar esses dados com base na brecha de segurança.

Um invasor mal-intencionado poderia tirar proveito dessa violação de segurança de forma muito simples. Bastava contornar os mecanismos que protegem esses dados – que era onde residia o erro – e, usando um conjunto de bots e processadores, poderia criar uma base de dados com as informações pessoais dos utilizadores.

O problema de segurança, neste caso, estava no importador de contatos da rede social. Este, quando combinado com um formulário de login, expunha a existência da vulnerabilidade. Segundo um porta-voz do Facebook, a empresa modificou o importador de contatos do Instagram para corrigir o problema detectado.

Contudo, o Facebook não queria recompensar o utilizador @ZHacker13 pela descoberta do bug. Apesar de ter um Bug bounty program (como uma caça a bugs com recompensas), o Facebook não queria pagar por afirmar ter descoberto a vulnerabilidade antes do seu relato. Não obstante, o utilizador confirmou que a empresa de Mark Zuckerberg mudou de ideia e que foi recompensado pelo seu trabalho.