Het lek zou veroorzaakt zijn door Chtrbox, een marketingbedrijf uit Mumbai. Dat meldt de Amerikaanse techsite Techcrunch. Chtrbox verzamelde de gegevens, waaronder e-mailadressen en telefoonnummers en het bewaarde die op een onbeveiligde server. De accountgegevens van 49 miljoen gebruikers, van profielen tot telefoonnummers en e-mailadressen werden zo gelekt. Nadat Techcrunch Chtrbox had benaderd, verdwenen de gegevens van de server

"We bekijken de zaak om uit te vissen of de gegevens, waaronder e-mail en telefoonnumers, afkomstig zijn van Instagram of van andere bronnen", zegt Instagram in een mededeling. "We spreken ook met Chtrbox om te weten te komen waar deze data vandaan komt en hoe ze publiek werd." Instagram verbiedt het schrapen, of automatisch verzamelen van gegevens over accounts, in zijn gebruikersregels.

Het lek werd ontdekt door onafhankelijk onderzoeker Anurag Sen, zo schrijft TechCrunch, en de database zou ondertussen offline zijn gehaald.