Kementerian Komunikasi dan Digital terus melakukan pendalaman terkait dugaan kebocoran data yang dikaitkan dengan 17,5 juta akun Instagram di berbagai negara. Langkah ini diambil setelah muncul laporan banyak pengguna menerima e-mail permintaan pengaturan ulang kata sandi tanpa pernah mengajukan permintaan tersebut. Situasi ini memicu kekhawatiran publik mengenai keamanan data pribadi di platform media sosial yang digunakan jutaan orang setiap hari.
Kasus ini pertama kali mencuat pada awal Januari 2026, setelah perusahaan keamanan siber Malwarebytes melaporkan adanya lonjakan e-mail reset password Instagram yang dikirim secara massal. E-mail tersebut tampak seperti pemberitahuan resmi, namun diterima pengguna secara tiba-tiba. Berdasarkan temuan awal, jumlah akun yang terdampak diperkirakan mencapai 17,5 juta secara global, termasuk sejumlah akun yang terdaftar di Indonesia.
Menanggapi laporan tersebut, Kementerian Komunikasi dan Digital memanggil Meta sebagai perusahaan induk Instagram, Facebook, dan WhatsApp. Pemanggilan dilakukan untuk meminta klarifikasi resmi sekaligus memastikan apakah terdapat pelanggaran terhadap perlindungan data pribadi pengguna.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menyampaikan bahwa pertemuan klarifikasi dengan Meta telah dilakukan pada 14 Januari 2026. Dalam pertemuan tersebut, Meta diminta menjelaskan asal-usul insiden, cara kerja sistem reset password Instagram, serta langkah-langkah mitigasi yang telah diterapkan.
Menurut Alexander, Meta menegaskan bahwa mekanisme reset password Instagram merupakan sistem internal resmi. Fitur ini dirancang agar hanya pemilik akun yang dapat mengatur ulang kata sandi melalui prosedur tertentu. Meta menyatakan sistem tersebut tidak membuka akses kata sandi kepada pihak lain dan tidak memungkinkan pengambilan data sensitif pengguna.
Meta juga menyebut tidak ditemukan indikasi adanya kebocoran pada sistem inti Instagram. Kata sandi pengguna diklaim tetap aman dan tidak dapat diakses oleh pihak eksternal. Meski demikian, Alexander menegaskan bahwa proses pendalaman oleh Kemkomdigi masih berlangsung dan belum mencapai kesimpulan akhir.
Pemanggilan Meta, lanjut Alexander, merupakan bagian dari kewenangan pemerintah yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Regulasi tersebut mengatur kewajiban penyelenggara sistem elektronik untuk menjaga keamanan sistem serta melindungi data pribadi pengguna.
Di sisi lain, Meta juga memberikan penjelasan kepada publik. Pihak Instagram menyatakan tidak terjadi pelanggaran terhadap sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyebut masalah tersebut telah diperbaiki. Meta memastikan bahwa akun pengguna tetap aman dan meminta pengguna untuk mengabaikan e-mail reset password yang tidak pernah diminta. Perusahaan juga menyampaikan permohonan maaf atas ketidaknyamanan yang ditimbulkan.
Penjelasan tersebut sejalan dengan analisis Malwarebytes. Perusahaan keamanan siber ini menduga insiden tidak berasal dari peretasan langsung sistem Instagram. Mereka menilai sumber masalah kemungkinan terkait kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024. Data lama tersebut diduga kembali dipublikasikan oleh pihak tertentu di dark web pada awal Januari 2026.
Dataset yang beredar diklaim berisi lebih dari 17 juta data pengguna Instagram dari berbagai negara. Data tersebut disebut tersedia dalam format dokumen JSON dan TXT. Contoh data yang dianalisis memperlihatkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, serta user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025.
Walaupun tidak ditemukan kebocoran kata sandi, risiko bagi pengguna tetap dinilai ada. Para analis keamanan menyoroti potensi meningkatnya serangan phising akibat maraknya e-mail reset password palsu. Dalam skema ini, pelaku kejahatan digital memanfaatkan kepanikan atau kelengahan pengguna untuk mengelabui korban agar mengeklik tautan berbahaya atau memberikan informasi pribadi.
Phising merupakan modus penipuan digital yang dilakukan dengan menyamar sebagai layanan resmi. Pesan palsu biasanya dirancang menyerupai komunikasi asli agar terlihat meyakinkan. Jika pengguna mengikuti tautan dan memasukkan data pribadi, pelaku dapat menggunakan informasi tersebut untuk mengambil alih akun atau melakukan penyalahgunaan lainnya.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah terpengaruh oleh informasi yang belum terverifikasi. Pemerintah juga menekankan pentingnya kewaspadaan dalam menjaga keamanan akun digital, terutama di tengah meningkatnya aktivitas kejahatan siber.
Pengguna Instagram disarankan mengambil langkah pencegahan tambahan. Salah satunya dengan mengaktifkan fitur otentikasi dua langkah atau two-factor authentication. Fitur ini memberikan lapisan keamanan tambahan selain kata sandi. Selain itu, pengguna dianjurkan melakukan pemeriksaan rutin terhadap perangkat yang pernah masuk ke akun Instagram untuk memastikan tidak ada aktivitas mencurigakan.
Pengguna juga diminta tidak mengklik tautan dalam e-mail reset password jika tidak merasa pernah mengajukan permintaan tersebut. Mengabaikan pesan mencurigakan dan selalu memeriksa sumber informasi dinilai sebagai langkah sederhana namun efektif untuk menghindari penipuan digital.
Hingga kini, proses klarifikasi antara Kemkomdigi dan Meta masih berlanjut. Pemerintah menyatakan akan menyampaikan hasil evaluasi lanjutan setelah proses pendalaman selesai dilakukan. Kasus ini kembali menegaskan bahwa keamanan ruang digital membutuhkan peran aktif penyelenggara platform serta kesadaran pengguna dalam menjaga data pribadi mereka.
