Svagheten ska ha funnits i funktionen ”visa som”, där användare kunnat se hur profilen ser ut för utomstående.
Där ska hackarna via bugg ha fått tillgång till den digitala lösning som gör att användare kan vara automatiskt inloggade och alltså inte behöva fylla i sitt lösenord vid varje inloggning.
Gick ut via rapporteringssystem
Men redan elva dagar före hackerskandalen gick företaget ut med en vädjan via sitt så kallade bug bounty-program, ett slags rapporteringssystem där företag betalar användare pengar för att rapportera buggar.
Där bad man hackare hjälpa till att hitta buggar kopplat till företagets tokens, det vill säga de digitala nycklar som senare visade sig ha en avgörande funktion i hackerskandalen.
Företaget bekräftade också i en telefonkonferens att det var genom en trafiktopp den 16:e september som man först fick upp ögonen för att något inte stämde.
Facebook har i skrivande stund inte berättat vem som först noterat buggen som gjorde att 50 miljoner konton hackats.
Bug bounty-program
För att komma tillrätta med säkerhetsproblem erbjuder många företag ett slags program för att på ett lagligt sätt låta hackare hitta buggar på sajter och sedan rapportera dem till företagen.
Ersättningen varierar kraftigt men i fallet med de 50 miljoner hackade kontona är det en bugg som med all säkerhet skulle kunna gett en ersättning på omkring 200.000 kronor.
Facebook har haft ett bug bounty-program sedan 2011.