Nguyên nhân bởi dịch vụ lưu trữ mật khẩu của các tài khoản Instagram được liên kết trong bản ghi mà không được mã hóa. Lỗ hổng của trang web cho phép bất kỳ ai truy cập vào hồ sơ của người đã dùng Social Captain mà không cần phải đăng nhập hay xác thực tài khoản.
Một nhà nghiên cứu bảo mật đã cảnh báo về lỗ hổng này và cung cấp một danh sách khoảng 10.000 tài khoản người dùng (đã được che bớt thông tin), trong đó bao gồm 70 tài khoản premium.
Social Captain đã khắc phục lỗ hổng bằng cách chặn những truy cập trực tiếp vào hồ sơ của các người dùng khác. Instagram cho biết, Social Captain đã vi phạm các điều khoản dịch vụ của công ty vì lưu trữ thông tin đăng nhập không đúng cách.
Một phát ngôn viên của Instagram tuyên bố: “Chúng tôi đang điều tra và sẽ có hành động thích đáng. Công ty đặc biệt khuyến khích người dùng không bao giờ để lộ mật khẩu của bản thân cho đối tượng không quen biết hoặc không tin tưởng”.
Theo Adam Brown - giám đốc điều hành Synopsys Software Integrity Group, lỗi thiết kế chính là nguyên nhân của khoảng 50% tất cả các lỗ hổng phần mềm. Ông cũng nói rằng: “Rất khó để phát hiện ra lỗi vì việc này đòi hỏi người có chuyên môn. Vậy nên cần tiến hành kiểm thử xâm nhập để xác định lỗ hổng. Điều này đặc biệt tồi tệ với những người dùng bị ảnh hưởng - không chỉ vì mật khẩu Instagram của họ bị lộ, mà còn kéo theo các hệ lụy bị truy cập trái phép tài khoản và các liên kết mở rộng khác’’.
Instagram từng vướng phải rắc rối vào tháng 5/2019 khi làm lộ một cơ sở dữ liệu khổng lồ, chứa 49 triệu hồ sơ người dùng, bao gồm các blogger ẩm thực nổi tiếng, người nổi tiếng và những người có ảnh hưởng truyền thông xã hội khác. Tất cả những dữ liệu bị lộ đều được gửi đến cho một công ty tiếp thị truyền thông xã hội có trụ sở tại Mumbai.
Năm 2017, một lỗ hổng trong Instagram đã dẫn đến việc rò rỉ thông tin cá nhân của hơn 6 triệu người dùng nổi tiếng, bao gồm cả Taylor Swift và Kim Kardashian. Các thông tin bị đánh cắp sau đó đã được đưa vào cơ sở dữ liệu và bán với giá 10 USD mỗi bản ghi thông qua Bitcoin.