La vulnerabilidad se encuentra en la función "recuperar contraseña" de la versión movil de Instagram, descubierta por Laxman Muthiyah.
“Mis pruebas mostraron la presencia de limitación de velocidad. Envié alrededor de 1000 solicitudes, 250 de ellas se enviaron y las 750 solicitudes restantes fueron limitadas por la tarifa. Probé otros 1000, ahora muchos de ellos tienen una tasa limitada. Así que sus sistemas están validando y clasificando el límite de las solicitudes correctamente ”, dijo Muthiyah en una publicación de blog .
Muthiyah descubrió que esta limitación de la velocidad podría ser superada mediante el envío de solicitudes de fuerza bruta desde diferentes direcciones IP y aprovechando la condición de carrera.