Ribuan pengguna Instagram di Indonesia dalam beberapa hari terakhir menerima notifikasi massal yang meminta mereka untuk mengganti kata sandi akun. Permintaan ini dikirimkan melalui surel dari alamat email resmi Instagram yang memiliki tanda centang biru, memicu kekhawatiran di kalangan pengguna.
Salah satu pengguna, Anggri (34), mengaku telah menerima notifikasi serupa sebanyak dua kali, yakni pada 6 Januari dan 10 Januari 2026. Ia sempat mengunggah pengalaman ini di Instagram Story-nya, dan tak lama kemudian, tujuh temannya mengirim pesan langsung (DM) yang mengonfirmasi bahwa mereka juga mengalami hal yang sama.
Artikel informatif lainnya dapat dibaca di Mureks mureks.co.id.
“Langsung dapat DM hari itu juga, mereka bilang juga dapat notifikasi yang sama,” kata Anggri kepada Bisnis, Minggu (11/1/2026).
Anggri memilih untuk tidak langsung mengganti kata sandinya karena khawatir notifikasi tersebut merupakan bagian dari upaya penipuan untuk mencuri data-data pentingnya. Kekhawatiran ini beralasan, mengingat kata sandi yang ia gunakan mirip dengan beberapa akun media sosial lainnya. Senada dengan Anggri, pengguna Instagram bernama Denis juga mengabaikan permintaan tersebut karena menduga itu adalah upaya scam.
“Aku diamkan permintaan saja permintaannya di email. Semoga aman,” ujar Denis.
Pakar Keamanan Siber Ingatkan Bahaya Phishing
Menanggapi fenomena ini, Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja, menyarankan agar pengguna yang ingin memperbarui kata sandi sebaiknya melakukannya langsung melalui aplikasi Instagram yang sudah terdaftar di perangkat masing-masing. Menurutnya, aplikasi yang terinstal sudah terverifikasi dan diperbarui ke versi terbaru, sehingga proses pengkinian kata sandi akan lebih aman.
“Jangan mengklik link-link atau tautan-tautan yang ada di email atau DM karena sekarang sangat sulit untuk verifikasi benar atau tidaknya email-email tersebut,” tegas Ardi kepada Bisnis. Ia juga menambahkan bahwa tanda centang biru pada email tidak serta merta menjamin keasliannya, mengingat semakin canggihnya teknik phishing yang sulit dikenali oleh pengguna awam.
Senada, Ketua Bidang Network dan Infrastruktur Indonesian Digital Empowerment Community (IDIEC), Ariyanto A. Setyawan, meminta masyarakat untuk ekstra hati-hati. Ia menjelaskan bahwa praktik terbaik bagi pengembang aplikasi saat ini adalah melakukan pemaksaan penggantian kata sandi langsung di dalam aplikasi, bukan melalui email.
“Tunggu dipaksa reset dari aplikasinya saja. Best practicenya di pengembang aplikasi saat ini untuk proses pemaksaan ganti password itu ya di aplikasinya, bukan dikirim email. Kalau email, banyaknya phishing dan teknik itu sudah ditinggalkan oleh pengembang aplikasi,” jelas Ariyanto.
Phishing sendiri merupakan teknik penipuan siber yang bertujuan mencuri data sensitif seperti nama pengguna, kata sandi, nomor rekening, atau informasi pribadi lainnya. Pelaku biasanya menyamar sebagai entitas tepercaya, seperti bank, Instagram, atau pemerintah, dan mengirim pesan mendesak dengan tautan yang mengarah ke halaman login palsu.
Data Pengguna Instagram Bocor dan Dijual di Dark Web
Permintaan reset kata sandi secara massal ini bukan tanpa alasan. Sebelumnya, perusahaan antivirus Malwarebytes melaporkan adanya kebocoran data yang memengaruhi 17,5 juta akun Instagram. Informasi sensitif seperti nama pengguna, alamat fisik, nomor telepon, dan alamat email dilaporkan bocor dan kini dijual di dark web.
Kebocoran ini, menurut catatan Mureks, terkait dengan pelanggaran API Instagram yang terjadi pada tahun 2024. Data yang kini dijual secara terbuka tersebut berpotensi disalahgunakan untuk serangan siber lebih lanjut, seperti phishing bertarget atau pengambilalihan akun, yang kemudian memicu lonjakan permintaan reset kata sandi.
Dilansir dari Cybersecuritynews, insiden ini telah memicu kekhawatiran serius mengenai privasi dan keamanan akun pengguna secara global, termasuk di Indonesia. Penjual di dark web dengan nama “Subkek” mengklaim bahwa data tersebut diperoleh melalui scraping dari API publik Instagram dan sumber spesifik negara pada akhir 2024, dengan sampel rekaman yang jelas terlihat dalam daftar jual.
Kombinasi data yang bocor ini sangat memudahkan pencuri identitas, serangan phishing yang ditargetkan, dan rekayasa sosial. Penjahat siber dapat memanfaatkan informasi ini untuk mengirim pesan palsu yang seolah-olah berasal dari Instagram, dengan tujuan mencuri kata sandi pengguna.
Peningkatan Kasus Phishing di Indonesia
Di Indonesia, angka kasus phishing menunjukkan tren peningkatan signifikan. Badan Siber dan Sandi Negara (BSSN) mencatat, pada September 2025, total aktivitas anomali siber mencapai 4,41 miliar. Phishing menempati urutan ketiga modus terbanyak setelah malware dan akses tidak sah, dengan lonjakan hingga 26 juta kasus.
Sementara itu, Kementerian Komunikasi dan Informatika (Komdigi) mencatat 1,2 juta laporan penipuan digital hingga pertengahan 2025, yang mayoritas merupakan kasus phishing atau smishing melalui SMS dan email.
Hingga berita ini diturunkan, Bisnis.com telah mencoba mengonfirmasi kepada Meta terkait dugaan kebocoran data Instagram dan kekhawatiran pengguna mengenai permintaan penggantian kata sandi via email, namun belum mendapatkan balasan.
