17 Juta Data Pengguna Instagram Bocor, Meta Beri Penjelasan

Sejumlah pengguna Instagram di berbagai negara melaporkan menerima email resmi dari Instagram yang meminta mereka mengatur ulang kata sandi, padahal tidak pernah mengajukan permintaan tersebut. Email itu berisi notifikasi bahwa permintaan reset telah diajukan, lengkap dengan tautan untuk mengonfirmasi atau membatalkannya.

Malwarebytes menyatakan bahwa fenomena ini kemungkinan berkaitan dengan aktivitas pihak eksternal yang memanfaatkan data pengguna. Perusahaan tersebut menduga peretas telah mengumpulkan informasi profil dari sekitar 17,5 juta akun Instagram.

Dilansir Forbes, basis data yang beredar di forum peretas BreachForums diduga bukan hasil kebocoran baru. Data tersebut disebut berasal dari hasil scraping API pada 2022, yang kemudian dibagikan secara terbatas di komunitas kriminal siber pada 2024, sebelum akhirnya dipublikasikan secara gratis dan terbuka.

Informasi yang termuat dalam basis data tersebut mencakup nama pengguna Instagram, alamat email, nomor telepon, user ID, dan dalam beberapa laporan juga disebutkan adanya keterkaitan dengan alamat fisik pengguna. Akses terbuka terhadap data ini meningkatkan risiko penyalahgunaan, mulai dari phishing, penipuan digital, hingga upaya peretasan berbasis rekayasa sosial.

Dilansir Security Affairs, para peneliti keamanan siber mencatat bahwa sebagian basis data bahkan dipasarkan sebagai “doxxing kit”, yaitu kumpulan data pribadi yang digunakan untuk mengaitkan identitas daring dengan identitas dunia nyata. Praktik ini dinilai meningkatkan risiko teror, pemerasan, dan ancaman keamanan di dunia nyata.

Sebagian data tersebut juga diduga dilelang di pasar gelap dalam paket-paket yang disortir berdasarkan wilayah dan jumlah pengikut, menjadikan kreator konten dan akun bisnis sebagai target bernilai tinggi.

Menanggapi isu tersebut, Instagram menegaskan bahwa menerima email reset kata sandi tidak otomatis berarti akun diretas. Dalam keterangan resminya di situs web Instagram, platform tersebut menyatakan “Menerima email pengaturan ulang kata sandi tidak serta merta berarti akun Anda telah diretas.”

Instagram menjelaskan bahwa email reset dapat terkirim akibat kesalahan pihak lain yang salah mengetik alamat email atau nama pengguna saat mencoba masuk atau mengatur ulang kata sandi.

Instagram juga menyatakan telah memperbaiki masalah teknis yang memungkinkan pihak eksternal memicu pengiriman email reset ke sebagian pengguna.

“Kami telah memperbaiki masalah yang memungkinkan pihak eksternal meminta email pengaturan ulang kata sandi untuk beberapa orang. Tidak ada pelanggaran terhadap sistem kami dan akun Instagram Anda aman,” tulis Instagram.

Perusahaan menegaskan bahwa email resmi Instagram hanya dikirim melalui domain @mail.instagram.com dan menyarankan pengguna untuk mengabaikan email reset yang mencurigakan.

Meskipun tidak ada bukti pelanggaran sistem Instagram, ketersediaan data dalam jumlah besar tetap berisiko. Kombinasi alamat email dan nomor telepon dapat dimanfaatkan untuk phishing tertarget, penyamaran sebagai dukungan resmi Instagram, hingga upaya pengambilalihan akun melalui teknik penipuan lanjutan.

Dengan lebih dari 2 miliar pengguna aktif bulanan, Instagram menjadi target bernilai tinggi bagi kejahatan siber. Insiden ini menyoroti tantangan berkelanjutan dalam pengelolaan data pengguna dan pembatasan pengambilan data berskala besar di platform digital global.

Meta mengimbau pengguna untuk meningkatkan pengamanan akun, termasuk mengganti kata sandi dan mengaktifkan autentikasi dua faktor (2FA) sebagai lapisan perlindungan tambahan.