Új fiók regisztrációjakor az Instagram arról tájékoztatja a netezőt, hogy nyilvánosan nem lesz látható az email-címe és a születési dátuma. Saugat Pokharel biztonsági szakértő fedezte fel, hogy egy hibát kihasználva könnyedén hozzáférhetővé váltak ezek az érzékenyebb adatok is. Miután észrevételéről tájékoztatta a Facebookot, a cég befoltozta a biztonsági rést, és pénzjutalomban részesítette a szakértőt.
A hiba a Facebook üzleti felhasználóknak szánt rendszerét érintette, a Business Suite eszközön keresztül lehetett kihasználni. Ez az a felület, ami arra való, hogy a Facebookot és a többi kapcsolódó szolgáltatást használó cégek egy platformon láthassák az aktivitásaikat: a bejegyzéseket, üzeneteket, felhasználók adatait. Utóbbiakat csak akkor láthatják, ha a másik fél nem zárt fiókból ír. A hiba viszont lehetőséget adott rá, hogy lelakatolt, privátra állított profil adatait is láthassák a szervezetek, ehhez pedig csak egy privát üzenetet kellett küldeniük az ügyfélnek.
A hibajelenség a közösségi óriás szerint mindössze pár óráig állt fenn, és egy olyan kísérleti funkcióban bújt meg, amit csak azok az üzleti felhasználók tudtak használni, akiknek volt Instagram-fiókjuk is. A belsős vizsgálatok szerint szerencsére senki sem élt vissza a lehetőséggel és nem történt illetéktelen adatgyűjtés.