Encontré un poco más de información técnica en el artículo del NY Times :
Los atacantes explotaron dos errores en la función "ver como" del sitio, que permite a los usuarios ver sus propios perfiles como si fueran otra persona.
Eso se vio agravado por una falla en el programa de carga de videos de Facebook, una característica del software que se presentó en julio de 2017, dijo la compañía. La falla permitió a los atacantes robar los llamados tokens de acceso: claves digitales que permiten el acceso a una cuenta.
Y aún más información sobre TechCrunch :
No uno, pero tres errores llevaron a la exposición de datos.
En julio de 2017, Facebook introdujo inadvertidamente tres vulnerabilidades en su cargador de video, dijo Guy Rosen, vicepresidente de administración de productos de Facebook, en una llamada con reporteros. Cuando se utiliza la función "Ver como" para ver su perfil como otra persona, el cargador de video aparecerá ocasionalmente cuando no debería mostrarse. Cuando apareció, generó un token de acceso con la persona a la que se veía la página de perfil. Si se obtuviera ese token, un atacante podría iniciar sesión en la cuenta de la otra persona.