Když si registrujete nový Instagram účet, služba vám slibuje, že váš email ani datum narození nebudou nikdy veřejné. Bug, který byl nedávno odhalen, umožňoval útočníkům jednoduše získat tyto soukromé informace. Bug je již nyní opraven, ihned po tom, co byl nahlášen Facebooku. Týkalo se to ale pouze business Instagram účtů, které dali souhlas s vyzkoušením experimentální funkce na Instagramu.
K útoku byl použit nástroj Business Suite společnosti Facebook, který je k dispozici pro jakýkoli obchodní účet Facebooku. Experimentální upgrade znamenal, že pokud byl obchodní účet Facebooku propojen s účtem Instagram, nástroj Business Suite by zobrazil další informace o osobě vedle jakékoli přímé zprávy – včetně její údajně soukromé e-mailové adresy a narozenin. Jediné, co museli podnikoví uživatelé udělat, bylo poslat přímou zprávu na Instagram a vyvolat informace.
Pokharel zjistil, že útok fungoval na účtech, které byly nastaveny jako soukromé, a na účtech, které byly nastaveny tak, aby nepřijímaly DM od veřejnosti. Pokud účet nepřijal DM, uživatel by potenciálně neobdržel žádné oznámení o tom, že jeho profil mohl být zobrazen.
