Quando il sistema trova la password si realizza un accesso, con tanto di notifica (se abilitata) e di alert al primo avvio dell'app da telefono. Tutto questo si verifica se il dispositivo che stai usando non ha mai effettuato l'accesso a quell'account.
Es:
- Usi un tool di bruteforce che instaura una connessione con instagram.com
- instagram.com gli assegna un ID (lo assegna a tutto, a telefoni e browser)
- il tool prova tante password, ma alla fine trova quella giusta -> di fatto stai accedendo al profilo
- il sistema di instagram.com ritiene che l'id in questione è sospetto? Manda l'alert (nel tuo caso, il server registrerà tot tentativi prima di effettuare il login, quindi al 100% manderà l'alert)
MA, se riesci a ricavare l'id di un dispositivo che ha già effettuato l'accesso allora instagram non invierà l'alert.
Quindi:
- Nel momento in cui il programma usato mi trova la password dell'account, si realizza un vero e proprio accesso che viene registrato da instagram?
Sì, sia che tu faccia l'attacco usando il sito, l'app o le API
- O mi compare solo nella schermata degli accessi segnalando solo da dove sono loggato?
Ti compare a prescindere, a ogni nuovo accesso un nuovo dispositivo viene aggiunto a quella lista
Per l'alert, come ti spiegavo prima, dipende dai casi