Problemet fanns i ett Meta AI-baserat supportverktyg som skulle hjälpa användare att få tillbaka tillgången till låsta konton, rapporterar BleepingComputer.
Återställningslänk kunde hamna fel
Genom verktyget gick det att begära en länk för att återställa lösenordet till ett Instagram-konto.
Men systemet kontrollerade inte tillräckligt noggrant om mejladressen som angavs faktiskt tillhörde kontot. En angripare kunde därför i vissa fall få återställningslänken skickad till sin egen mejladress och byta lösenord.
Den som tog sig in på ett konto kan ha fått tillgång till bland annat mejladresser, telefonnummer, födelsedatum, bilder, filmer, privata meddelanden och information om länkade konton.
Meta har stängt av verktyget
Meta uppger att upp till 20 225 konton kan ha påverkats av säkerhetsmissen. Verktyget har nu stängts av och återställningslänkarna har ogiltigförklarats.
För berörda användare kan nästa steg bli att verifiera sitt konto på nytt. Samtidigt uppmanar Meta alla att se över sina säkerhetsinställningar och aktivera tvåfaktorsautentisering.
