Een beveiligingslek maakte het mogelijk om Instagram-accounts zonder enige interactie van gebruikers over te nemen, zo ontdekte beveiligingsonderzoeker Laxman Muthiyah, die eerder al een andere kwetsbaarheid vond waarmee accounts waren te kapen.

Instagram-gebruikers die hun wachtwoord zijn vergeten kunnen hun mobiele telefoonnummer invoeren. Vervolgens wordt er een zescijferige code naar de telefoon gestuurd. De gebruiker moet deze code bij Instagram invoeren en kan daarna een nieuw wachtwoord instellen. Instagram maakt gebruik van een device-ID om wachtwoordresetcodes te valideren.

Als een gebruiker een passcode via zijn telefoon opvraagt wordt er tegelijkertijd een device-ID verstuurd. Hetzelfde device-ID wordt gebruikt om de passcode te verifiëren. Muthiyah ontdekte dat het mogelijk is om met één device-ID van meerdere gebruikers de passcode op te vragen. Voor een zescijferige passcode zijn er één miljoen mogelijkheden.

"Wanneer we passcodes van meerdere gebruikers opvragen, vergroten we de kans om het account te hacken. Als we met hetzelfde device-ID de passcode van honderdduizend gebruikers opvragen, kun je een succesratio van tien procent hebben, aangezien honderdduizend codes voor hetzelfde device-ID worden uitgegeven. Als we passcodes voor één miljoen gebruikers vragen, kunnen we alle één miljoen accounts eenvoudig hacken door de passcode incrementeel te verhogen", aldus Muthiyah.

De onderzoeker waarschuwde Facebook dat het beveiligingsprobleem vervolgens oploste. Voor zijn melding ontving Muthiyah een beloning van 10.000 dollar. Voor de andere, eerdere kwetsbaarheid waarmee het mogelijk was om Instagram-accounts te kapen ontving hij 30.000 dollar.