Beveiligingsonderzoeker Wesley Wineberg ontdekte tijdens een bug bounty program een beveiligingslek op een Instagram-server, dat toegang bood tot zeer gevoelige gegevens. Facebook betaalde vervolgens een bescheiden vergoeding en claimt dat de onderzoeker te ver is gegaan.
Beveiligingsonderzoeker Wesley Wineberg beschrijft zijn versie van het verhaal op zijn blog. Nadat hij een beveiligingslek had vastgesteld op een Instagram-server besloot hij zijn bevindingen aan moederbedrijf Facebook te melden. Het bedrijf betaalde hem een beloning uit ter hoogte van 2500 dollar, omgerekend 2300 euro. Wineberg was echter een aantal interessante bestanden tegengekomen en besloot verder op onderzoek uit te gaan. Volgens hem bevond hij zich toen nog binnen de regels van het bug bounty program van Facebook. Dit is waar de standpunten van de twee partijen uit elkaar lopen. Facebook-cso Alex Stamos stelt dat alles wat tot aan het vinden van het lek op de Instagram-server gebeurde volgens de regels was, maar dat Wineberg daarna zijn boekje te buiten is gegaan. De site Forbes heeft een uitgebreid artikel gewijd aan het conflict.
De bevindingen van Wineberg begonnen met een tip van een bekende die hem wees op een mogelijk kwetsbare Instagram-server. Er draaide een Ruby-app op de server genaamd 'Sensu-Admin' met een ingebakken geheime Rails-token. Met behulp hiervan lukte het Wineberg na enig onderzoek om een cookie te fabriceren die hem de mogelijkheid tot remote code execution op de Instagram-server opleverde. Dit betekende dat hij in feite alles met de server kon doen. Dit was het eerste moment waarop hij zijn bevindingen aan Facebook meedeelde.
Hij vond een aantal interessante bestanden op de gekraakte server, waaronder een met bcrypt versleutelde database met zestig accounts van Instagram- en Facebook-medewerkers. Normaal gesproken zou het enige tijd duren om dergelijke bestanden te ontsleutelen, maar hij besloot een poging te wagen. Tot zijn verbazing had hij na enkele minuten al twaalf wachtwoorden gekraakt, waaronder 'changeme', 'password' en 'instagram'. De gevonden gegevens gaven hem vervolgens weer met een sleutel toegang tot verschillende aws-diensten, waaronder een S3-opslagdienst van Amazon.
Vandaaruit was hij in staat om een nieuw sleutelpaar te vinden in een oud configuratiebestand. Dit laatste sleutelpaar gaf hem ten slotte toegang tot 82 verschillende buckets met allerlei verschillende, zeer gevoelige gegevens. Wineberg heeft het over gegevens zoals de broncode voor recente versies van de Instagram-back-end, ssl-certificaten en privésleutels voor instagram.com, inloggegevens van een e-mailserver en sociale-media-api's. Hij stelt zelf dat het niet onwaar zou zijn om te claimen dat 'hij toegang tot alle geheime sleutels van Instagram' had.