Donc si on résume:
1) Facebook a demandé le mot de passe de la boite mail de 1,5 millions de personnes.
2) Facebook est allé récupérer la liste de tous les contacts de ces 1,5 millions de personnes.
Mais « par erreur ».
Mais bien sûr: Moi aussi je demande "par erreur" le mot de passe de la boîte mail des visiteurs de mon site, et je fais "par erreur" une connexion IMAP sur leur serveur de mail pour aller récupérer la liste de tous leurs contacts.