Kementerian Komunikasi dan Digital masih melakukan pendalaman terhadap laporan dugaan kebocoran data yang dikaitkan dengan 17,5 juta akun Instagram di berbagai negara. Kasus ini mendapat perhatian luas karena menyangkut keamanan data pribadi pengguna media sosial, termasuk pengguna di Indonesia yang jumlahnya sangat besar.
Isu ini mencuat setelah banyak pengguna Instagram melaporkan menerima e-mail pengaturan ulang kata sandi tanpa pernah mengajukan permintaan. E-mail tersebut terlihat resmi dan menggunakan format yang mirip dengan pemberitahuan asli dari Instagram. Kondisi ini memunculkan kekhawatiran bahwa data pengguna telah bocor dan disalahgunakan oleh pihak tertentu.
Laporan awal mengenai fenomena tersebut berasal dari temuan perusahaan keamanan siber Malwarebytes. Dalam analisisnya, Malwarebytes mencatat adanya lonjakan e-mail reset password yang dikirim ke jutaan akun Instagram secara global. Dari hasil penelusuran awal, jumlah akun yang diduga terdampak mencapai sekitar 17,5 juta.
Menindaklanjuti laporan tersebut, Kementerian Komunikasi dan Digital memanggil Meta sebagai perusahaan induk Instagram. Pemanggilan ini dilakukan untuk meminta klarifikasi langsung serta memastikan apakah terjadi pelanggaran terhadap perlindungan data pribadi pengguna.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menjelaskan bahwa klarifikasi dengan Meta telah dilakukan pada 14 Januari 2026. Dalam pertemuan tersebut, Meta diminta menjelaskan sumber permasalahan, mekanisme keamanan yang berlaku, serta langkah perbaikan yang telah diambil.
Menurut Alexander, Meta menyatakan bahwa fitur reset password Instagram merupakan mekanisme internal resmi. Sistem ini dirancang agar hanya pemilik akun yang dapat mengatur ulang kata sandi melalui prosedur tertentu. Meta menegaskan bahwa mekanisme tersebut tidak membuka akses kata sandi kepada pihak lain.
Meta juga menyebut tidak ditemukan indikasi adanya kebocoran pada sistem inti Instagram. Kata sandi pengguna diklaim tetap aman dan tidak dapat diakses oleh pihak eksternal. Meski demikian, Alexander menegaskan bahwa proses pendalaman oleh pemerintah masih berjalan dan belum menghasilkan kesimpulan akhir.
Pemanggilan Meta dilakukan berdasarkan kewenangan pemerintah yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Aturan ini mengatur tanggung jawab penyelenggara sistem elektronik dalam menjaga keamanan sistem serta melindungi data pribadi pengguna.
Di sisi lain, Meta juga menyampaikan pernyataan terbuka kepada publik. Pihak Instagram menyatakan tidak terjadi pelanggaran terhadap sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyebut masalah tersebut telah diperbaiki. Meta memastikan akun pengguna tetap aman dan meminta pengguna mengabaikan e-mail reset password yang tidak pernah diminta. Perusahaan juga menyampaikan permohonan maaf atas ketidaknyamanan yang dirasakan pengguna.
Penjelasan Meta ini sejalan dengan temuan Malwarebytes. Perusahaan keamanan siber tersebut menduga insiden ini berkaitan dengan kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024. Dataset lama tersebut diduga kembali beredar setelah dipublikasikan ulang oleh pihak tertentu di dark web pada awal Januari 2026.
Dataset yang beredar diklaim berisi lebih dari 17 juta data pengguna Instagram dari berbagai negara. Data tersebut tersedia dalam format dokumen JSON dan TXT. Contoh data yang dianalisis menunjukkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, dan user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025.
Walaupun tidak ditemukan kebocoran kata sandi, risiko bagi pengguna tetap ada. Para analis keamanan menilai lonjakan e-mail reset password palsu berpotensi meningkatkan serangan phising. Dalam skema ini, pelaku kejahatan digital memanfaatkan kepanikan pengguna untuk mengelabui korban agar mengklik tautan berbahaya atau memasukkan informasi pribadi ke situs palsu.
Phising merupakan modus penipuan digital yang umum terjadi. Pelaku biasanya menyamar sebagai layanan resmi dan mengirim pesan yang tampak meyakinkan. Jika pengguna tidak teliti dan mengikuti instruksi dalam pesan palsu tersebut, akun dapat diambil alih atau data pribadi disalahgunakan.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah percaya pada informasi yang belum terverifikasi. Pemerintah juga menekankan pentingnya kewaspadaan dan literasi digital dalam menggunakan layanan daring, terutama media sosial.
Bagi pengguna Instagram, ada beberapa langkah sederhana yang dapat dilakukan untuk meningkatkan keamanan akun. Pertama, aktifkan fitur otentikasi dua langkah atau two-factor authentication sebagai lapisan keamanan tambahan. Kedua, lakukan pemeriksaan rutin terhadap perangkat yang pernah masuk ke akun Instagram untuk memastikan tidak ada akses mencurigakan. Ketiga, abaikan e-mail reset password yang tidak pernah diminta dan hindari mengeklik tautan yang meragukan.
Hingga saat ini, proses klarifikasi antara Kemkomdigi dan Meta masih berlangsung. Pemerintah menyatakan akan menyampaikan hasil evaluasi lanjutan setelah pendalaman selesai dilakukan. Kasus ini menjadi pengingat bahwa perlindungan data digital tidak hanya bergantung pada sistem platform, tetapi juga pada kewaspadaan pengguna dalam menjaga keamanan akun pribadi mereka.
