Facebook sparade lösenord till hundratals miljoner användarkonton utan att kryptera dem först, vilket gjorde dem läsbara för anställda på företaget.
Uppgifterna riskerar att spä på tidigare kritik mot mediejättens sätt att behandla användardata.
Merparten av de okrypterade lösenorden är knutna till konton i tjänsten Facebook Lite, som främst används på platser med långsam internetuppkoppling. Därtill ska tiotals miljoner vanliga Facebookkonton vara drabbade av säkerhetsbristen, och ytterligare tiotusentals konton på Facebooks bildtjänst Instagram, skriver Facebook i ett pressmeddelande. Några mer exakta siffror än så anges inte.
Journalisten Brian Krebs skriver på sin blogg att det rör sig om 200-600 miljoner konton, och att 20 000 anställda haft tillgång till lösenorden, med hänvisning till en källa som jobbar på Facebook.
Användare ska informeras
Säkerhetsluckan upptäcktes i samband med en rutinkontroll i januari, och har nu åtgärdats, enligt pressmeddelandet. De användare som drabbats ska underrättas av Facebook. Företaget skriver dock att inget tyder på att utomstående kommit över lösenorden.
Facebooks börsvärde sjönk med omkring en procent när nyheten blev känd, rapporterar CNBC.
Medieplattformen har återkommande hamnat i blåsväder under de senaste åren för anklagelser om att det inte har respekterat användarnas integritet i tillräckligt hög utsträckning. Så sent som för två veckor sedan skrev företagets grundare Mark Zuckerberg i ett blogginlägg att företaget ska bli bättre på att skydda användarnas data.
Tidigare avslöjanden
I mars förra året briserade den stora Cambridge Analytica-skandalen. Det uppdagades att det brittiska analaysföretaget sedan 2014 kommit över uppgifter om 87 miljoner Facebookanvändare som samlats in via en app under helt andra förespeglingar. Cambridge Analytica använde sedan informationen för att sälja konsulttjänster till politiker.
I september samma år uppstod nästa härva, när Facebook berättade att uppemot 50 miljoner konton hade hackats.
(Erik Paulsson Rönnbäck/TT)