După schimbarea numărului, hackerul poate modifica uşor parola prin SMS. Potrivit informaticianului belgian, această lacună face ca până la 20 de milioane de conturi de pe reţeaua de socializare să fie vulnerabile.

Arne Swinnen detectase anterior, în decembrie 2015 şi februarie 2016, două vulnerabilităţi majore, care permiteau ghicirea parolei oricărui utilizator. De exemplu, un hacker putea face 1.000 de încercări pe un server pentru a afla dacă o parolă există sau nu, următoarele 1.000 rămânând fără răspuns. Ulterior însă serverul răspundea o dată din două, în mod nelimitat. A doua lacună a sistemului de securitate era pe interfaţa web. Aceasta permitea găsirea de parole existente prin trimiterea de cereri de creare de cont. Serverul indica dacă parola este bună sau nu. După recuperarea parolei, oricine se putea autentifica în locul utilizatorului fără nici o verificare suplimentară.

De atunci Instagram a reacţionat la descoperirile cercetătorului belgian şi a corectat lacunele. Astfel s-a fixat un număr limitat de solicitări, iar parolele prea simple nu mai sunt acceptate. Aren Swinnen a primit recompense pentru ajutorul dat reţelei de socializare.

Atunci când conturile sunt atacate, acestea pot fi exploatate pentru trimiterea de mesaje spam şi linkuri rău intenţionate către milioane de followers, deschizând calea pentru scurgeri jenante de fotografii intime, aşa cum s-a întâmplat în 2014 în cazul cunoscut sub numele de „Celebgate”. Atunci aproximativ 500 de fotografii private ale unor vedete ca Jennifer Lawrence, Christina Hendricks şi Anna Kendrick, obţinute fraudulos ca urmare a unor breşe informatice, au fost postate online ilegal.