La fuite aurait été provoquée par Chtrbox, une firme de marketing basée à Mumbai, selon le site technologique américain Techcrunch. Chtrbox aurait collecté les données en question, dont des adresses e-mail et des numéros de téléphone, pour les stocker sur un serveur non sécurisé. Les données des comptes (profils, numéros de téléphone et adresses e-mail) de 49 millions d'utilisateurs ont ainsi pris la clé des champs. Après que Techcrunch ait pris contact avec Chtrbox, les données ont disparu du serveur.

"Nous examinons cette affaire pour savoir si ces données, dont des adresses e-mail et des numéros de téléphone, proviennent d'Instagram ou d'autres sources", déclare-t-on chez Instagram par voie communiqué. "Nous dialoguons aussi avec Chtrbox pour connaître l'origine de ces données et comment elles ont été rendues publiques." Dans ses conditions d'utilisation, Instagram interdit le regroupage, à savoir la collecte automatique de données liées à des comptes.

La fuite a été découverte par le chercheur indépendant Anurag Sen, selon TechCrunch, et la base de données aurait entre-temps été mise hors ligne.