Pengguna Instagram di seluruh dunia dihebohkan dengan maraknya email permintaan reset kata sandi yang diterima secara tiba-tiba, padahal mereka tidak pernah mengajukan permintaan tersebut. Fenomena ini bukan sekadar gangguan teknis, melainkan indikasi serius dari kebocoran data masif yang kini menyeret setidaknya 17,5 juta akun Instagram ke dalam ancaman kejahatan siber.
Informasi krusial ini pertama kali diungkap oleh perusahaan keamanan siber terkemuka, Malwarebytes, melalui akun resmi mereka di platform X (@Malwarebytes). Menurut Malwarebytes, kumpulan data sensitif pengguna Instagram telah diperjualbelikan secara bebas di dark web sejak 7 Januari 2026.
Artikel informatif lainnya dapat dibaca melalui Mureks. mureks.co.id
Catatan Mureks menunjukkan, kebocoran ini diduga kuat berasal dari celah keamanan pada API (Antarmuka Pemrograman Aplikasi) Instagram yang terjadi pada tahun 2024. Struktur data yang rapi dan konsisten, mirip dengan respons API asli Instagram dalam format JSON dan TXT, semakin memperkuat dugaan bahwa insiden ini terjadi melalui API lama yang tidak diamankan dengan baik, kemungkinan besar akibat integrasi pihak ketiga atau konfigurasi sistem yang rentan sebelum tahun 2025.
Data Apa Saja yang Bocor?
Meskipun kata sandi akun tidak ikut tersebar dalam kebocoran ini, data yang bocor tetap sangat berbahaya karena mencakup informasi pribadi yang sensitif. Tim redaksi Mureks merangkum detail data yang terekspos:
- Username Instagram
- Nama lengkap pengguna
- Alamat email
- Nomor telepon (termasuk kode internasional)
- Alamat fisik parsial
- User ID Instagram
- Detail kontak lainnya
Bagaimana Peretas Memanfaatkan Data Ini?
Tanpa akses langsung ke kata sandi, peretas tidak dapat langsung masuk ke akun korban. Namun, mereka menggunakan data yang bocor untuk memanipulasi sistem Instagram itu sendiri. Modusnya adalah dengan memasukkan alamat email atau username korban ke halaman login Instagram, kemudian mengklik opsi “Forgot Password?”.
Secara otomatis, Instagram akan mengirimkan email reset kata sandi ke pemilik akun yang sebenarnya, sesuai permintaan yang diajukan oleh peretas. Tujuan dari aksi ini tidak selalu untuk mencuri akun secara langsung, melainkan untuk berbagai bentuk kejahatan siber lainnya, antara lain:
- Impersonation attack: Berpura-pura menjadi korban untuk menipu keluarga atau rekan kerja.
- Phishing lanjutan: Mengirimkan email palsu yang sangat mirip dengan notifikasi resmi Instagram untuk memancing informasi lebih lanjut.
- Social engineering: Mengumpulkan lebih banyak data pribadi untuk melancarkan serangan siber yang lebih kompleks.
- Pencurian identitas digital: Membangun profil palsu berdasarkan data asli korban.
Langkah Proteksi Akun Instagram Anda
Mengingat potensi ancaman yang serius, pengguna Instagram diimbau untuk segera mengambil langkah-langkah perlindungan. Pastikan untuk selalu memeriksa keaslian setiap email yang meminta reset kata sandi dan aktifkan otentikasi dua faktor (2FA) untuk lapisan keamanan tambahan. Jangan pernah mengklik tautan mencurigakan dan selalu verifikasi permintaan reset kata sandi langsung melalui aplikasi Instagram.
