Foto's en privéberichten die gebruikers van Instagram verwijderden bleven langer dan een jaar op de servers van het bedrijf bewaard en waren via Instagrams eigen downloadtool gewoon nog te downloaden, zo ontdekte beveiligingsonderzoeker Saugat Pokharel. Instagram stelt op de eigen website dat het tot negentig dagen kan duren voordat door gebruikers verwijderde foto's en berichten van de servers zijn verwijderd, maar dat bleek niet het geval te zijn.

Om aan de Algemene verordening gegevensbescherming (AVG) te voldoen introduceerde Instagram in 2018 de mogelijkheid voor gebruikers om hun data te downloaden. De download van Pokharel bevatte foto's en berichten die de onderzoeker al meer dan een jaar geleden had verwijderd. Zo ontdekte hij dat de door hem verwijderde data nog op de servers van Instagram stond.

Het probleem werd vorig jaar oktober door Pokharel aan Instagram gerapporteerd en begin deze maand verholpen, zo laat hij tegenover TechCrunch weten. Instagram bevestigt dat de bug is opgelost. Voor zijn bugmelding ontving de onderzoeker een beloning van zesduizend dollar.