Efter att ha erkänt i april att miljoner Instagram- och Facebook-lösenord lagrades i klartext har forskare nu upptäckt en brist på Instagram-webbplatsen som enligt uppgift läckt användarnas telefonnummer och e-postadresser i månader.
Dataforskare och företagskonsult berättade för CNET att en brist i Instagram-webbplatskoden gjorde det möjligt att synliga telefonnummer på vissa Instagram-konton i enkel text för alla som skulle inspektera webbplatsens kod som laddats i deras webbläsare.
Exponeringen tycktes innehålla kontaktinformation för tusentals konton, som tillhörde privatpersoner - av vilka vissa var minderåriga - tillsammans med företag och varumärken, sade Stier. Att inkludera informationen i källkoden kan låta hackare skrapa uppgifterna från Instagram-webbplatsen och låta dem samla en virtuell telefonbok som visar kontaktinformationen för tusentals Instagram-användare.
En sådan katalog kan ha skapats. På måndag avslöjade en rapport att ett marknadsföringsföretag i Indien hade fått kontaktinformation för miljontals Instagram-konton och lagrat den i en osäker databas. Det är oklart hur databasen skapades, men att skrapa data från Instagram strider mot företagets användarvillkor.
Bristen, som upptäcktes i februari, har nu rättats i mars.
För lite mer än en månad sedan sa Facebook i ett blogginlägg att det hade upptäckt loggar med "miljoner" Instagram-lösenord för påverkare, kändisar och varumärkekonton som är osäkra lagrade i ren text men noterade att utredningen fann att inga av de exponerade lösenorden missbrukades eller felaktigt åtkomliga. Dessutom var lösenorden inte tillgängliga utanför anställda på Facebook och Instagram, säger företaget.
Det överträdelsen avslöjades efter att Mumbai-baserade marknadsföringsföretag Chtrbox delade en databas som inkluderade personlig användarinformation. "Vi frågar också med Chtrbox för att förstå var denna information kom ifrån och hur den blev allmänt tillgänglig," sade Facebook på måndag.
Alla berörda användare meddelades av Instagram att ändra sina lösenord.