Kementerian Komunikasi dan Digital terus mendalami laporan dugaan kebocoran data yang menyeret nama Instagram dengan jumlah akun terdampak mencapai 17,5 juta secara global. Kasus ini mencuat setelah banyak pengguna menerima e-mail permintaan pengaturan ulang kata sandi tanpa pernah mengajukan permintaan tersebut. Fenomena ini memicu kekhawatiran publik mengenai keamanan data pribadi di platform media sosial.
Menanggapi situasi tersebut, Kementerian Komunikasi dan Digital memanggil Meta selaku perusahaan induk Instagram untuk memberikan klarifikasi resmi. Pemerintah menilai pemanggilan ini penting guna memastikan tidak terjadi pelanggaran perlindungan data pengguna, khususnya pengguna di Indonesia.
Laporan awal mengenai insiden ini berasal dari perusahaan keamanan siber Malwarebytes. Dalam temuannya, Malwarebytes mencatat adanya lonjakan e-mail reset password Instagram yang dikirim ke jutaan akun di berbagai negara. Pesan tersebut tampak seperti notifikasi resmi, namun dikirim tanpa inisiatif dari pemilik akun. Berdasarkan analisis awal, jumlah akun yang terpapar fenomena ini diperkirakan mencapai 17,5 juta.
Kemkomdigi kemudian menggelar pertemuan klarifikasi dengan Meta pada 14 Januari 2026. Dalam pertemuan tersebut, Meta diminta menjelaskan asal-usul insiden, mekanisme keamanan yang berlaku, serta langkah mitigasi yang telah dan akan dilakukan untuk melindungi pengguna.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menyampaikan bahwa Meta menegaskan mekanisme reset password Instagram merupakan sistem internal resmi. Sistem ini dirancang agar hanya pemilik akun yang dapat mengatur ulang kata sandi, tanpa membuka akses data sensitif kepada pihak lain.
Menurut penjelasan Meta, tidak ada kata sandi pengguna yang bocor atau dapat diakses oleh pihak eksternal. Selain itu, Meta mengklaim tidak menemukan indikasi penyalahgunaan sistem inti Instagram untuk mengambil data pribadi pengguna. Kendati demikian, Alexander menyebut proses pendalaman oleh pemerintah masih berlangsung.
Hasil klarifikasi awal tersebut belum menjadi kesimpulan akhir. Kemkomdigi menyatakan akan terus melakukan evaluasi lanjutan sesuai kewenangan yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Regulasi ini memberikan dasar hukum bagi pemerintah untuk mengawasi dan meminta pertanggungjawaban penyelenggara sistem elektronik.
Di sisi lain, Meta juga memberikan pernyataan terbuka kepada publik. Pihak Instagram menyampaikan bahwa tidak ada pelanggaran pada sistem inti mereka. Meta mengakui terdapat masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyatakan masalah tersebut telah diperbaiki dan memastikan akun pengguna tetap aman. Meta juga meminta pengguna mengabaikan e-mail reset password yang tidak pernah diminta serta menyampaikan permohonan maaf atas ketidaknyamanan yang terjadi.
Analisis Malwarebytes turut memperkuat dugaan bahwa insiden ini tidak berasal dari peretasan langsung sistem Instagram. Mereka menduga sumber masalah berkaitan dengan kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024. Data lama tersebut diduga kembali dipublikasikan oleh pihak tertentu di dark web pada awal Januari 2026.
Dataset yang beredar diklaim berisi lebih dari 17 juta data pengguna dalam format JSON dan TXT. Contoh data yang dianalisis menunjukkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, dan user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga menguatkan dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025.
Meski tidak ditemukan kebocoran kata sandi, risiko keamanan tetap dinilai ada. Para analis keamanan menyoroti potensi serangan phising yang meningkat akibat maraknya e-mail reset password palsu. Kondisi ini dapat dimanfaatkan pelaku kejahatan siber untuk menipu pengguna agar mengklik tautan berbahaya atau memberikan informasi pribadi.
Phising merupakan modus penipuan digital yang umum digunakan dengan cara menyamar sebagai layanan resmi. Pesan palsu biasanya dirancang menyerupai komunikasi asli agar korban lengah. Jika pengguna mengikuti tautan dan memasukkan data pribadi, pelaku dapat mengambil alih akun atau menyalahgunakan informasi tersebut.
Kemkomdigi mengimbau masyarakat untuk tetap tenang dan tidak mudah percaya pada informasi yang belum terverifikasi. Pemerintah juga meminta pengguna meningkatkan kewaspadaan dan menerapkan langkah-langkah dasar keamanan digital dalam aktivitas sehari-hari.
Bagi pengguna Instagram, ada beberapa langkah pencegahan yang disarankan. Pertama, aktifkan fitur otentikasi dua langkah atau two-factor authentication untuk menambah lapisan keamanan akun. Kedua, lakukan pemeriksaan rutin terhadap perangkat yang pernah masuk ke akun guna memastikan tidak ada aktivitas mencurigakan. Ketiga, abaikan e-mail reset password yang tidak pernah diminta dan hindari mengklik tautan yang meragukan.
Hingga saat ini, proses klarifikasi antara Kemkomdigi dan Meta masih berjalan. Pemerintah menyatakan akan menyampaikan hasil evaluasi secara terbuka setelah proses pendalaman selesai. Kasus ini menjadi pengingat bahwa perlindungan data digital membutuhkan peran aktif penyelenggara platform sekaligus kewaspadaan pengguna dalam menjaga keamanan akun masing-masing.
