Een beveiligingslek in de populaire fotodienst Instagram maakte het mogelijk voor een onderzoeker om 1 miljoen tijdelijk inactieve accounts over te nemen. Het gaat om accounts waarvan de eigenaar moet worden geverifieerd, waarvoor Instagram via een aparte pagina verschillende mogelijkheden biedt.

Het gaat dan onder andere om verificatie via e-mail of sms. Het is echter ook mogelijk om het e-mailadres of telefoonnummer van het account te updaten en dan de verificatie uit te voeren. Een aanvaller die toegang tot deze pagina heeft kan zijn eigen e-mailadres of telefoonnummer opgeven om hiermee het account te verifiëren en vervolgens een wachtwoordreset uitvoeren en zo het account overnemen.

Onderzoeker Arne Swinnen had zijn eigen Instagram-account lange tijd niet meer gebruikt en moest die verifiëren. De pagina-link die Instagram hiervoor gebruikte bevatte echter zijn Instagram-id en vereiste geen verdere authenticatie. Via een script kon Swinnen zo alle Instagram-id's afgaan om te kijken welke accounts inactief waren en waar hij bijvoorbeeld het e-mailadres of telefoonnummer van kon aanpassen. Een test met 1 miljoen id's wees uit dat 4% van de Instagramgebruikers inactief was. Het waren voornamelijk accounts die pas een paar weken op inactief stonden.

Instagram heeft naar eigen zeggen 400 miljoen gebruikers. Swinnen stelt dan ook dat hij via de kwetsbaarheid 1 miljoen accounts kon overnemen. Op 14 maart waarschuwde de onderzoeker Facebook, dat eigenaar van Instagram is. Binnen2 4 uur was het probleem opgelost en ontving Swinnen een beloning van 5.000 dollar.