A BuzzFeed figyelt fel rá, hogy az Instagramra feltöltött fotók akkor is megtekinthetők bárki számára, ha a felhasználó egyébként privátra állította a fiókja láthatóságát. A Facebook szerverén tárolt képekhez csak pár kattintáson keresztül vezet az út, amennyiben valaki tudja értelmezni a HTML-ben írt forráskódokat, illetve van egy ismerőse, aki jogosultságot kapott a privát fiók követéséhez.
A trükkhöz csak egy asztali böngésző kell (mondjuk Google Chrome), ahol adott Instagram-profilhoz tartozó forráskódot értelmezve az "Img" szekcióból egyszerűen kimásolható bármelyik kép URL-je (amennyiben a felhasználó már jogot kapott a követésre). Igaz, a kódban elhelyezett linkeket csak azokat tekinthetik meg, akik amúgy is látják a profilt,
de ha ezt az URL-t tovább osztják, akkor bejelentkezés nélkül is bárki megtekintheti a tartalmat - legyen szó képről, vagy 24 óra után eltűnő sztoriról.
Az URL-ek felfedhetősége egyben lehetőséget ad arra is, hogy az alapjában apró bélyegképként látható profilfotókat a feltöltött teljes méretben lehessen előhívni, azokét is, akik interakcióba léptek egy adott poszttal.
Úgy tűnik továbbá, hogy a képek az URL-ek birtokában azután is megnézhetők, hogy a feltöltő eltávolította a profiljáról, ezzel bizonyítva, hogy a Facebook szerverein ettől függetlenül egy bizonyos ideig még megtalálható a tartalom, ez igaz a 24 óra után eltűnő sztorikra is.
A Facebook reakciója szerint az URL-ek másolása nem különbözik attól, mintha valaki képernyőmentéseket készítene és osztana tovább egy olyan privát profilról, ahova betekintést tud nyerni, és nem tapasztaltak rosszindulatú visszaélést a metódussal. Ám ahogy a portál is rávilágít, a linkekkel olyan plusz információk is hozzáférhetők, minthogy mikor töltötték fel a fotót, és természetesen a cégre sem vet jó fényt, hogy nem elég szigorúak a privát fiókokhoz tartozó tartalmak kezelését illetően.