Das Feature Download your data wurde dazu eingeführt, damit Nutzer des Social-Media-Dienstes ihre gespeicherten Nutzerdaten, wie es die Datenschutzgrundverordnung verlangt, herunterladen und einsehen können. Allerdings outete es ungewollt auch das Passwort derjenigen, die es nutzen. Denn es zeigte es in der Adressleiste des Browsers an. Betroffen gewesen sein sollen allerdings nur wenige der Nutzer.
Allerdings war das Passwort nicht nur bei der Nutzung sichtbar. Es wurde in dieser Form auch auf den Facebook-Servern gespeichert. Nachdem der Fehler auch von Instagram bemerkt worden war, wurde er umgehend von den Entwicklern behoben. Skeptiker bezweifeln allerdings, dass die Auswirkung des Fehlers so marginal waren, wie das Unternehmen behauptet. Denn vermutlich war die Anzeige des Passworts im Klartext im Code des Features implementiert und dürfte daher mehr als nur ein paar wenige Nutzer betroffen haben.
Instagram betont, dass das Tool nun sicher sei. Zudem würden Passwörter nur als Hashes abgelegt, um die Sicherheit zu garantieren. Auch auf anderen Wegen versucht Instagram, die Sicherheit des Dienstes zu verbessern: So wurde eine verbesserte Zwei-Faktor-Authentifizierung eingeführt. Die neue Verifizierung ist auch mit Drittanbietern kompatibel, zuvor funktionierte dies nur per SMS. Weiterhin sollen bei großen Accounts mehr Informationen für Nutzer eingeblendet werden, damit so die Authentizität von anderen besser beurteilt werden können.
