As mensagens teriam sido obtidas por meio da primeira versão da Graph API, que permitia aos desenvolvedores obterem muitas informações dos usuários. Com ela, era possível pedir acesso às conversas com a solicitação “read_mailbox”.
O que deixa o cenário ainda pior é o fato de os aplicativos terem conseguido as mensagens mesmo que apenas uma pessoa na conversa tenha dado a autorização. Essas informações puderam ser acessadas até que a versão do Graph API fosse descontinuada em outubro de 2015. Em abril daquele ano, o Facebook já havia proibido os aplicativos de terem informações de amigos de um usuário. A possibilidade que existia até então foi o principal motivo para o Cambridge Analytica ter informações de tantas pessoas. À Wired, o Facebook disse que cerca de 1.500 usuários deram a permissão para o aplicativo da Cambridge Analytica ler suas mensagens. A empresa não confirmou quantos foram afetados somente por terem conversado com essas pessoas. A nova informação dificulta o cenário para o Facebook, que tem sido criticado por demorar para dar detalhes sobre o ocorrido. Um dos exemplos é a demora de mais de duas semanas para revelar que, na verdade, as informações de 87 milhões de pessoas, não 50 milhões, chegaram às mãos da Cambridge Analytica. Com informações: The Verge.
