Facebook แถลงผ่านทางหน้าเว็บไซต์ Newsroom ถึงความผิดพลาดในการเก็บรหัสผ่านของผู้ใช้หลายร้อยล้านราย โดยเฉพาะผู้ใช้ Facebook Lite ในรูปแบบ Plain Text ในเซิฟเวอร์ภายในที่พนักงานสามารถเข้าถึงได้ โดยล่าสุด Facebook ได้แก้ไขความผิดพลาดแล้ว และจะแจ้งไปยังผู้ใช้เจ้าของรหัสผ่านเหล่านี้ให้ทราบและระวังไว้ก่อน
Facebook กล่าวว่าในความผิดพลาดครั้งนี้ รหัสผ่านที่ถูกเก็บไว้นั้นอยู่เพียงในเซิฟเวอร์ภายในขององค์กรเท่านั้น และจากการสืบสวนไม่มีหลักฐานใดที่ชี้ชัดว่าพนักงานของเฟซบุ๊กได้ทำการเข้าถึงหรือนำไปใช้อย่างไม่เหมาะสมแต่อย่างใด อย่างไรก็ตาม Facebook จะทำการแจ้งเตือนให้เจ้าของพาสเวิร์ดได้ทราบเพื่อระวังเอาไว้ก่อน
ตามถ้อยแถลง ผู้ใช้ Facebook ที่จะถูกแจ้งเตือนนั้นประกอบไปด้วยผู้ใช้ Facebook Lite (แอปพลิเคชันเวอร์ชันเบาเครื่อง) หลายร้อยล้านราย ผู้ใช้ Facebook อื่นๆหลายสิบล้านราย และผู้ใช้ Instagram หลายหมื่นราย
ก่อนหน้าที่จะมีการยอมรับอย่างเป็นทางการ เว็บไซต์ KrebsOnSecurity ได้รายงานถึงความผิดพลาดนี้โดยกล่าวถึงตัวเลขผู้ใช้ที่ได้รับผลกระทบว่าอยู่ในช่วง 200 ถึง 600 ล้านราย จากการสืบสวนภายในพบว่ามีวิศวกรหรือนักพัฒนาของ Facebook ราวๆ 2,000 รายที่ได้เข้ามา Query ข้อมูลที่มีรหัสผ่านของผู้ใช้แบบ Plain Text ติดไปด้วย ซึ่งรวมๆแล้วมีการ Query ภายในประมาณ 9 ล้านครั้ง
KrebsOnSecurity ยังได้รายงานด้วยว่าในบางกรณี การเก็บรหัสผ่านเป็น Plain Text นี้มีมาตั้งแต่ปี 2012 โดยตามถ้อยแถลง เฟซบุ๊กเพิ่งตระหนักถึงความผิดพลาดนี้เมื่อช่วงต้นปี 2019
Facebook เชื่อว่าความผิดพลาดครั้งนี้นั้นไม่ได้ถูกฉวยโอกาสโดยพนักงานใดที่เกี่ยวข้อง และไม่ได้บังคับให้ผู้ใช้ที่ได้รับผลกระทบเปลี่ยนพาสเวิร์ด ทว่าก็ได้แนะนำมาตรการเสริมความปลอดภัยมาว่า ผู้ใช้อาจเปลี่ยนพาสเวิร์ดให้ไม่เหมือนกับพาสเวิร์ดที่ใช้ในระบบอื่นๆ ใช้ Password Manager หรือตั้งรหัสผ่านที่ยาก และอาจลองใช้งาน Two-factor Authentication ดู
แม้จะไม่มีรายงานความเสียหายโดยตรง แต่ความผิดพลาดครั้งนี้ก็ยากที่จะถูกมองข้าม เพราะมีผู้ใช้ได้รับผลกระทบหลายร้อยล้านราย และความผิดพลาดก็ดำเนินมาเป็นเวลานานหลายปีในบางกรณี