Secondo BuzzFeed, Instagram ha un difetto di sicurezza nel modo in cui gestisce i post sugli account che sono stati impostati come privati e illustra come ispezionando il codice sorgente in una pagina web attraverso qualsiasi browser sia possibile esporre l’URL persistente di post e storie private memorizzati nella cache sui server di Facebook.
L’URL può quindi essere condiviso e la foto visualizzata da chiunque, comprese le persone che non seguono l’account privato in questione.
Oltre a rivelare gli URL persistenti per le foto pubblicate su un account privato, allo stesso modo è possibile estrarre gli URL per le foto del profilo di altri utenti di Instagram che potrebbero aver interagito con quel post.
Secondo BuzzFeed, questi URL recupereranno comunque le immagini dai server di Facebook anche dopo che i post sono stati eliminati e gli URL per le storie private restituiranno la storia per più giorni dopo la data di scadenza, inoltre il rapporto sostiene che lo stesso metodo funziona anche per il recupero di URL di post e foto di account Facebook privati.
Secondo Facebook, cercare l’URL di una foto privata in modo che possa essere più facilmente condivisa pubblicamente non è dissimile dal fare uno screenshot di un post e condividerlo e soprattutto non consente l’accesso all’account privato di una persona.