באג באינסטגרם מאפשר להשתלט על חשבון של מישהו אחר באמצעות הפעלת איפוס סיסמה, בקשת קוד שיחזור וניסיון מהיר של כל קוד שיחזור אפשרי. הבאג נתגלה על ידי חוקר אבטחת המידע לקסמן מותי'אה, אשר צד אחר באגים ומהבדיקות שערך עלה כי ניתן לנסות כ-200 קודים שונים של שחזור סיסמה לפני שנחסמים ומגיעים למצב ששרתי אינסטגרם לא יאפשרו ניחושים נוספים. קוד השיחזור הינו בעל שש ספרות, כך שקיימים מיליון צירופים אפשריים. קוד השיחזור נבחר באופן אקראי, כך שכל קוד אפשרי ולא ניתן לבחור צירופים פופולאריים כדי לנסות אותם בניסיונות הראשונים. בעת ניחוש הקוד, יש צורך לעבוד מהר ולא ניתן לקחת את הזמן, זאת בגלל שכל קוד תקף לעשר דקות בלבד.
גם אם לא היתה מגבלה, בעשר דקות ניתן להזין אלף אפשרויות מתוך כמיליון, עד שהקוד יפוג תוקף. החוקר תהה האם החסימה היא למספר ניסיונות לאותו החשבון, או למספר הניסיונות מאותו המחשב, כלומר, אם היו לו 201 מחשבים שונים עם מספרי IP שונים וכל מחשב עשה ניסיון אחד, מה יגרום לחסימת הניסיון ה-200? או, אם היו לו 201 מחשבים וכל אחד מהם מנסה 200 צירופים, האם זה שווה ל-40,200 ניחושים שונים? בכדי לענות על השאלות, הוא ניסה עם אלף כתובות IP שונות והצליח לבצע 200,000 ניחושים מבלי להיחסם.
כשמעבירים זאת למספרים גדולים יותר, כל מי שיהיה בעל חמשת אלפים כתובות IP יוכל לנסות מיליון צירופים של קודים בעשר דקות וכך בוודאות לנחש את הקוד הנכון. החוקר מעריך, כי ניתן לבצע מתקפה כזו באמצעות שירותי ענן של אמזון או גוגל בעלות של כמאה וחמישים דולרים. אמנם, לא ניתן לפרוץ כך את כל החשבונות, אבל באופן יחסי ניתן לפרוץ חשבון אינסטגרם של מישהו שנבחר בצורה קלה וזולה.
פייסבוק הסכימו כי אכן מדובר ביותר מאשר סיכון תיאורטי ואף שילמו לחוקר כשלושים אלף דולרים וטיפלו בנושא ככל הנראה באמצעות הגבלת קצב השימוש בקודים של שיחזור על בסיס חשבון מותקף ולא על ניסיונות ניחוש של צד אחר.
אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע ESET בישראל ציין כי "חשוב שכל מה שקשור לשחזור סיסמה, יוגדר דרך אימות דו שלבי בטלפון ודרך כתובת מייל חלופית. במידה שהחשבון שלנו ייפרץ באמצעות באגים שעדיין אינם מוכרים ומנוצלים ע"י עבריינים זה יוכל לעזור לביטחון החשבון". הוא הוסיף: "כמובן במקרה שבו אנו מקבלים התראות במייל או בטלפון על נסיונות התחברות לחשבון שלנו שלא ביצענו או קוד שחזור שלא ביקשנו, חשוב לדווח על כך לחברה המפעילה את השירות".
הוא הדגיש כי "במקרה של עבריינים, בדרך כלל הם לא ישתמשו בשירותי ענן של אמזון או גוגל כדי לפרוץ לחשבונות, אלא ינצלו רשתות בוטנט של מחשבים נגועים בתוכנות זדוניות, שניתן להנחות אותם לבצע פעולות מכל מקום ובכל זמן. גם אם אין רשת כזו בבעלותם, ניתן לשכור רשתות בוטנט במחירים נמוכים משמעותית וכך לפרוץ חשבונות רבים יותר ובמחיר נמוך יותר". כרמי סיכם: "בדרך כלל כאשר מדובר בבאג או פירצה שנמכרים בפורומים של האקרים, ניתן לרכוש אותו כאשר כבר הוא כולל קוד מוכן להטמעה וניצול בפועל, וכל מה שנדרש הוא מספר הגדרות פשוטות ליישום, כך שלא רק האקרים מקצועיים יכולים להשתמש בהם".