Svagheten ska ha funnits i funktionen ”visa som”, där användare kunnat se hur profilen ser ut för utomstående.
Där ska hackarna via bugg ha fått tillgång till den digitala lösning som gör att användare kan vara automatiskt inloggade och alltså inte behöva fylla i sitt lösenord vid varje inloggning.
Gick ut via rapporteringssystem
Men redan elva dagar före hackerskandalen gick företaget ut med en vädjan via sitt så kallade bug bounty-program, ett slags rapporteringssystem där företag betalar användare pengar för att rapportera buggar.
Där bad man hackare hjälpa till att hitta buggar kopplat till företagets tokens, det vill säga de digitala nycklar som senare visade sig ha en avgörande funktion i hackerskandalen.
Företaget bekräftade också i en telefonkonferens att det var genom en trafiktopp den 16:e september som man först fick upp ögonen för att något inte stämde.
Facebook har i skrivande stund inte berättat vem som först noterat buggen som gjorde att 50 miljoner konton hackats.