I ett blogginlägg skriver företaget att de som loggat in på Facebook och gett tredje parts-applikationer tillgång till foton kan ha drabbats. Vissa applikationer har fått tillgång till långt fler foton än vad användaren godkänt. Detta fel varade i tolv dagar, mellan den 13 september och 25 september i år.

I vanliga fall får apparna bara åtkomst till foton som lagts upp på tidslinjen, men nu ska de ha fått åtkomst till foton som delats via "marketplace" och "Facebook stories", samt inlägg som ännu inte publicerats.

Om en användare vill skapa ett inlägg med en bild så sparar Facebook en kopia av bilden innan inlägget laddats upp. Om användaren sedan tappar mottagningen eller går in på ett möte så finns kopian kvar även senare.

Buggen kan ha omfattat 1 500 applikationer som byggts av 876 utvecklare.

"Vi är ledsna att det här har inträffat", skriver Tomer Bar, teknikchef på Facebook, i blogginlägget.

Facebook kommer nu att arbeta tillsammans med utvecklarna för att radera bilder som de fått tillgång till. Användare som drabbats kommer också att underrättas. Företaget rekommenderar också användare logga in på appar som de delat sina bilder med för att se vilka bilder de har tillgång till.