Większość rekordów dotyczyła mieszkańców Stanów Zjednoczonych. Bob Diachenko twierdzi, że pozyskanie tych danych jest najprawdopodobniej wynikiem nielegalnego web scrapingu lub dziury w interfejsie API Facebooka.
Być może dane zostały skradzione z interfejsu API dewelopera Facebooka, zanim firma ograniczyła dostęp do numerów telefonów w 2018 roku. Interfejs API Facebooka jest wykorzystywany przez twórców różnych aplikacji, do których można się zalogować przez konto na Facebooku i które wykorzystują informacje podawane przez użytkowników portalu społecznościowego, np. listy znajomych, zdjęcia i terminy wydarzeń. Bob Diachenko uważa także, że prawdopodobne jest to, że interfejs API Facebooka ma lukę w zabezpieczeniach, która umożliwia przestępcom dostęp do identyfikatorów użytkowników i numerów telefonów nawet po ograniczeniu dostępu do danych dla twórców wykorzystujących API serwisu.
Inną opcja jest wspomniany web scraping (skrobanie), czyli pozyskiwanie danych bezpośrednio ze strony internetowej i może zostać przeprowadzone w sposób anonimowy i zautomatyzowany. Tę metodę można z powodzeniem zastosować, szczególnie wtedy, gdy użytkownicy korzystają z profilu publicznego. „Skrobiące” boty błyskawiczne przeglądają olbrzymie ilości stron internetowych (np. profilowych), pobierając z nich dane. Facebookowi i innym serwisom społecznościowym trudno zwalczać skrobanie, ponieważ nie potrafią odróżnić legalnego użytkownika od bota.
Dlatego, by utrudnić hakerom pracę i nie znaleźć się w takiej bazie, warto zmienić ustawienia prywatności profilu, tak by nasze posty widzieli znajomi i wyłączyć wyszukiwarkom spoza FB możliwość podawania linku do profilu.
To nie pierwszy przypadek tak dużego wycieku danych z portalu społecznościowego. Poprzedni miał miejsce we wrześniu tego roku. Wówczas w sieci znalazły się informacje o 419 mln osób.