Sophosは11月20日(米国時間)、「Instagram accidentally reveals plaintext passwords in URLs|naked security|Sophos」において、Instagramが提供しているサービスで暗号化されていないパスワードが誤ってURLに表示される状況になっていたと伝えた。このインシデントの影響を受けたと見られるユーザーにはすでに通知が送られており、直ちにパスワードを変更するように促されていると説明がある。
Instagramにはデータをダウンロードするための機能が追加されているが、今回問題が発見されたのはこの機能。所定の手順を踏んでリクエストを送信すると、URL経由で自分がアップロードした写真データなどをダウンロードできるようになるが、この時に生成されるURLにパスワードが含まれていたとされている。これはInstagram側がパスワードを暗号化せずに保持していたことを意味しているとしており、記事ではデータの扱いの不用心さを指摘している。
また、なぜかIngstagramが保持しているはずのパスワードデータがInstagramの親会社であるFacebookにも保存されていたことが明らかになったことも指摘。Facebookは情報漏洩が相次いで指摘されており、データ管理の状況などが懸念される。