Een beveiligingslek in de populaire fotosite Instagram maakte het voor iedereen mogelijk om privéfoto's van anderen te bekijken. De kwetsbaarheid was ontdekt door de Spaanse beveiligingsonderzoeker Sebastián Guerrero. Door het lek konden gebruikers zich aan willekeurige accounts als vriend toevoegen. Daardoor was het mogelijk om afgeschermde foto's te bekijken, alsmede profielgegevens.

De kwetsbaarheid zou zowel in de iPhone- als Android-app aanwezig zijn. Verder ontdekte Guerrero dat het mogelijk was om via een brute force-aanval zich aan de vriendenlijst toe te voegen en privéalbums te stelen. Als bewijs voegde de onderzoeker zich toe aan het account van Facebook-oprichter en CEO Marck Zuckerberg.

Vervolgens stuurde hij Zuckerberg een persoonlijk bericht waarin hij hem feliciteert voor het kopen van Instagram en vraagt wanneer het onder het beloningsprogramma van Facebook valt. Guerrero had Instagram gewaarschuwd, maar besloot het lek openbaar te maken omdat hij geen reactie kreeg.

Update
Inmiddels heeft Facebook het probleem opgelost en stelt dat het probleem minder groot is dan Guerrero voorstelde. "De onderzoeker kon geen privégebruikers volgen, ook waren de gegevens van privégebruikers niet in gevaar." Verder zijn er geen aanwijzingen dat de kwetsbaarheid door anderen is misbruikt of dat privéfoto's publiek zijn gemaakt.