O banco de dados não contém nomes de usuário ou senhas, mas é rico em outras informações pessoais sobre os usuários da rede, como nome completo, ano de nascimento, status de relacionamento, localização, sexo, número de telefone e endereços de e-mail. Elas podem ser usadas em campanhas de "phishing" (“pescaria” de dados sigilosos) ou como um ponto de partida para roubo de identidade.
O vazamento foi anunciado pela empresa norte-americana Comparitech, em parceria com o pesquisador de segurança Bob Diachenko que inclui as informações pessoais de 267 milhões de usuários do Facebook. Uma cópia dos dados foi encontrada em um segundo servidor na Internet, contendo informações de mais 42 milhões de contas, elevando o número de vítimas em potencial a 309 milhões de usuários.
Para Diachenko, os dados são resultado do uso indevido da API - termo em inglês "Application Programming Interface" que significa em português "Interface de Programação de Aplicativos" - do Facebook ou que pode se tratar de uma campanha de scraping - coleta automatizada de informações em uma página - que parece ter sido conduzida por hackers baseados no Vietnã.
Diachenko imediatamente contatou o provedor de serviços responsável pelo servidor onde os dados estavam hospedados para que fossem retirados do ar. Entretanto, antes disso, a informação foi postada em fóruns de hackers e chegou a ser vendida na “deep web”.
Para verificar sua autenticidade, os pesquisadores da empresa de segurança Cyble compraram uma cópia do banco de dados por US$ 600 - cerca de R$ 3.200 que foram usados para alimentar seu serviço “Am I Breached?”, que diz aos usuários se suas informações constam em algum “vazamento” na web.