注册Instagram账户时，该服务承诺不会公开你的电子邮件和生日。然而，安全研究人员Saugat Pokharel发现了一个bug，使得攻击者可以很容易地获得这些私人信息。该漏洞在被报告给Facebook后被修补，被允许访问该公司正在测试的一个实验性功能的商业账户所利用。

这次攻击使用了Facebook的Business Suite工具，任何Facebook商业帐户都可以使用。这一实验性升级意味着，如果一个Facebook商业账户链接到Instagram，并被纳入测试组，那么business Suite工具将在任何直接消息旁边显示一个人的其他信息——包括他们的私人电子邮件地址和生日。商业用户所要做的就是在Instagram上直接发送一条信息来调出这些信息。

Pokharel发现，攻击对设置为私有的帐户和设置为不接受公共DMs的帐户有效。如果帐户不接受DMs，用户可能不会收到任何通知，表明他们的配置文件可能已被查看。

Pokharel是一位经验丰富的窃听者，他还发现Instagram并没有在8月份删除被删除的帖子。

Facebook的一位发言人在提供给Verge的一份声明中说，由于该实验是在10月份开始的，因此该漏洞只能在短时间内被发现。该公司没有透露有多少用户可以使用该功能，但表示这只是一个“小测试”，而且调查没有发现滥用的证据。

声明全文如下。

A researcher reported an issue where, if someone was a part of a **all test we ran in October for business accounts, personal information of the person they were messaging could have been revealed. This issue was resolved quickly, and we discovered no evidence of abuse. Through our Bug Bounty Program we rewarded this researcher for his help in reporting this issue to us.

据Pokharel称，Facebook的工程师在接到通知后几个小时内就解决了这个问题。

美国东部时间12月18日下午6:20更新：澄清了第二段中的一点，即只有包含在实验中的账户才能获得信息。