Sebanyak 17,5 juta akun pengguna Instagram di seluruh dunia dilaporkan mengalami kebocoran data sensitif dan kini diperjualbelikan di dark web. Insiden ini memicu kekhawatiran serius setelah banyak pengguna menerima notifikasi permintaan reset kata sandi secara massal.
Laporan terbaru dari perusahaan antivirus Malwarebytes mengungkapkan bahwa data yang bocor mencakup nama pengguna, alamat fisik, nomor telepon, dan alamat email. Penemuan ini merupakan hasil pemindaian rutin Malwarebytes di dark web, yang mengindikasikan adanya korelasi dengan kebocoran API Instagram pada tahun 2024.
Liputan informatif lainnya tersedia di Mureks. mureks.co.id
Menurut pantauan Mureks, data-data tersebut kini dijual secara terbuka dan berpotensi besar disalahgunakan untuk berbagai serangan siber. Modus operandi yang mungkin terjadi meliputi upaya phishing, pengambilalihan akun, hingga rekayasa sosial yang menargetkan korban.
Dilansir dari Cybersecuritynews pada Minggu, 11 Januari 2026, insiden ini pertama kali memicu kekhawatiran global, termasuk di Indonesia. Seorang penjual di dark web dengan nama samaran ‘Subkek’ mengklaim bahwa data tersebut berhasil dikumpulkan melalui API publik Instagram dan sumber spesifik negara pada akhir 2024. Sampel rekaman data bahkan terlihat jelas dalam daftar penjualan.
Kombinasi informasi ini sangat memudahkan para pencuri identitas untuk melancarkan serangan phishing bertarget atau rekayasa sosial. Mereka dapat mengirimkan pesan palsu yang seolah-olah berasal dari Instagram, dengan tujuan mencuri kata sandi pengguna.
Dampak kebocoran ini telah dirasakan langsung oleh pengguna di Indonesia. Anggri (34), salah satu pengguna Instagram, mengaku telah menerima notifikasi berulang kali melalui surel resmi Instagram untuk mengganti kata sandi.
Anggri menerima notifikasi tersebut pada 6 Januari 2026 dan kembali pada 10 Januari. Ia sempat membagikan pengalamannya di Instagram Story, yang kemudian direspons oleh tujuh temannya yang mengaku mengalami hal serupa. “Langsung dapat DM hari itu juga, mereka bilang juga dapat notifikasi yang sama,” ujar Anggri kepada Bisnis.com.
Pengguna lain bernama Denis juga mengalami masalah serupa, yakni menerima email permintaan perubahan kata sandi. Baik Anggri maupun Denis memilih untuk mengabaikan pesan tersebut, khawatir bahwa itu adalah upaya penipuan atau scam. “Aku diamkan permintaan saja permintaannya di email. Semoga aman,” kata Denis.
Menyikapi fenomena ini, Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja, memberikan imbauan penting kepada para pengguna. Ia menyarankan agar proses penggantian kata sandi dilakukan langsung melalui aplikasi Instagram yang sudah terdaftar di perangkat masing-masing, karena platform tersebut telah terverifikasi keamanannya.
Ardi secara tegas mengingatkan pengguna untuk tidak mengklik tautan yang disebarkan melalui email atau pesan langsung (DM), meskipun terlihat berasal dari akun resmi Instagram. “Jangan mengklik link-link atau tautan-tautan yang ada di email atau DM karena sekarang sangat sulit untuk verifikasi benar atau tidaknya email-email tersebut,” tegas Ardi.
Hingga berita ini diturunkan, upaya konfirmasi yang dilakukan oleh Bisnis.com kepada Meta terkait dugaan kebocoran data Instagram dan kekhawatiran pengguna mengenai permintaan penggantian kata sandi belum mendapatkan respons.
