:strip_icc():watermark(kly-media-production/assets/images/watermarks/liputan6/watermark-color-landscape-new.png,573,20,0)/kly-media-production/medias/5469274/original/023358100_1768104400-Kebocoran_data_pada_akun_Instagram.jpg)
Jutaan pengguna Instagram di seluruh dunia mulai menerima email permintaan reset kata sandi yang tidak diminta sejak 8 Januari 2026, memicu kekhawatiran meluas mengenai keamanan akun. Insiden ini terjadi bersamaan dengan laporan dari perusahaan keamanan siber Malwarebytes yang pada 10 Januari mengklaim bahwa data sensitif dari sekitar 17,5 juta akun Instagram telah bocor dan kini diperjualbelikan di dark web, meski Meta, perusahaan induk Instagram, membantah adanya pelanggaran sistem berskala besar.
Malwarebytes melaporkan bahwa data yang bocor mencakup nama pengguna, alamat email, nomor telepon, alamat fisik, dan detail pribadi lainnya. Perusahaan antivirus tersebut menambahkan bahwa kebocoran ini kemungkinan besar terkait dengan paparan API Instagram dari tahun 2024 yang memungkinkan pengikisan profil pengguna dalam skala besar. Data tersebut disebut-sebut dikumpulkan pada akhir tahun 2024 menggunakan API publik dan sumber spesifik negara. Penjual di BreachForums, dengan alias "Solonik", memposting kumpulan data ini pada 7 Januari 2026, dengan judul "INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK", menampilkan contoh catatan dengan nomor telepon, alamat email, dan data geografis lengkap. Namun, laporan yang beredar tidak menunjukkan bahwa kata sandi pengguna termasuk dalam data yang bocor.
Menanggapi lonjakan email reset kata sandi, Meta mengeluarkan pernyataan yang menolak klaim pelanggaran data. Seorang juru bicara Meta menjelaskan bahwa perusahaan telah memperbaiki masalah teknis yang memungkinkan pihak eksternal memicu email reset kata sandi untuk beberapa pengguna Instagram. Mereka menekankan bahwa tidak ada pelanggaran sistem mereka dan akun Instagram tetap aman, meminta pengguna untuk mengabaikan email tersebut dan meminta maaf atas kebingungan yang ditimbulkan. Meskipun demikian, Meta belum memberikan komentar publik secara langsung mengenai laporan Malwarebytes tentang kebocoran data 17,5 juta akun. Beberapa peneliti keamanan siber, seperti Troy Hunt dari Have I been Pwned, mengkonfirmasi telah menerima email reset kata sandi, menyatakan ketidakpastian apakah insiden ini disebabkan oleh pengikisan data atau metode lain. Beberapa peneliti lain juga menyarankan bahwa data yang dilaporkan bocor mungkin berasal dari tahun 2022, terekspos pada akhir 2024 melalui celah API, atau bahkan mencakup data dari tahun 2017.
Implikasi dari kebocoran data ini melampaui sekadar gangguan sesaat. Informasi pribadi seperti alamat email dan nomor telepon yang bocor dapat secara signifikan meningkatkan risiko serangan siber yang lebih canggih. Pakar keamanan siber memperingatkan bahwa data yang terekspos dapat digunakan untuk upaya phishing yang ditargetkan, pencurian identitas, serangan SIM swapping, dan potensi pengambilalihan akun. Serangan phishing bisa menjadi sangat meyakinkan karena penyerang dapat memicu email reset kata sandi yang sah dari domain resmi Instagram, memanfaatkan kebingungan pengguna untuk mendapatkan kredensial login.
Mengingat sejarah Instagram dengan insiden keamanan, seperti pelanggaran pada September 2017 yang mengekspos detail kontak sekitar 6 juta pengguna, dan denda €405 juta oleh regulator Irlandia pada September 2022 karena pelanggaran privasi data, insiden saat ini menggarisbawahi tantangan berkelanjutan dalam melindungi data pengguna dalam skala besar. Pada November 2024, kebocoran lain yang dilaporkan mengekspos lebih dari 489 juta catatan pengguna Instagram di forum dark web, diduga diperoleh melalui kerentanan API.
Para ahli merekomendasikan langkah-langkah proaktif bagi pengguna Instagram untuk melindungi akun mereka. Ini termasuk mengaktifkan otentikasi dua faktor (2FA) segera, mengganti kata sandi dengan kombinasi yang kuat dan unik, dan selalu melakukan reset kata sandi secara manual melalui aplikasi Instagram resmi, bukan dengan mengeklik tautan dalam email yang tidak diminta. Pemantauan aktivitas akun yang mencurigakan juga sangat penting. Insiden ini menegaskan kembali bahwa dalam lanskap digital modern, platform media sosial menyimpan volume data pribadi yang sangat besar, menjadikannya target utama bagi pelaku kejahatan siber dan menyoroti perlunya praktik keamanan yang kuat baik dari perusahaan maupun individu. Transparansi dan komunikasi cepat dari perusahaan teknologi dalam menghadapi krisis keamanan tetap menjadi fondasi utama untuk mempertahankan kepercayaan pengguna.
