Dugaan Kebocoran Data 17,5 Juta Akun Instagram Picu Lonjakan Email Reset Password
Sebuah laporan dari perusahaan keamanan siber Malwarebytes mengungkap dugaan kebocoran data yang melibatkan 17,5 juta akun Instagram. Insiden ini memicu banyaknya pengguna menerima email reset password secara tiba-tiba, menimbulkan kekhawatiran mengenai keamanan informasi pribadi mereka. Data yang bocor ini, meskipun tidak mencakup kata sandi, berisi informasi sensitif seperti nama pengguna, alamat email, nomor telepon, dan detail kontak lainnya yang diduga telah beredar di dark web akibat celah pada API lama.
Bagi pengguna yang ingin mengetahui apakah akun Instagram mereka termasuk dalam daftar yang terdampak, Malwarebytes telah menyediakan layanan pemeriksaan gratis. Dengan hanya memasukkan alamat email yang terhubung dengan akun Instagram, pengguna dapat memindai potensi kebocoran data kritis. Hasil pemeriksaan akan menunjukkan apakah ada informasi sensitif yang terekspos. Namun, penting untuk diingat bahwa meskipun hasil pemindaian menunjukkan data aman, pengguna tetap disarankan untuk memperhatikan faktor keamanan lain seperti lokasi login yang tidak biasa, perangkat yang digunakan, serta kekuatan kata sandi yang dipilih.
Meskipun efek langsung yang dirasakan pengguna dari kebocoran ini adalah munculnya email reset password yang tidak diminta, potensi risikonya tetap serius. Data yang bocor ini dapat disalahgunakan oleh pelaku kejahatan siber untuk berbagai tujuan, termasuk penipuan, serangan phishing, dan serangan impersonation (peniruan identitas). Oleh karena itu, pengguna disarankan untuk mengabaikan email reset password yang tidak diminta, segera mengaktifkan fitur autentikasi dua faktor (2FA), mengganti kata sandi akun mereka, dan selalu waspada terhadap pesan-pesan mencurigakan yang mungkin diterima.
Memeriksa Keamanan Akun Instagram dari Potensi Kebocoran Data
Untuk membantu pengguna memastikan keamanan akun mereka, Malwarebytes menyediakan cara mudah untuk melakukan pengecekan.
Langkah-langkah Memeriksa Keamanan Akun Instagram:
- Buka situs web resmi Malwarebytes yang didedikasikan untuk pemeriksaan jejak digital di:
https://www.malwarebytes.com/digital-footprint-app-v2 - Masukkan alamat email yang terhubung dengan akun Instagram Anda.
- Klik opsi “Scan for Free” untuk memulai pemindaian.
- Anda mungkin akan diminta untuk memasukkan kode verifikasi yang dikirimkan ke alamat email Anda untuk memastikan identitas Anda.
- Sistem akan melacak dan memberikan laporan mengenai apakah alamat email Anda pernah teridentifikasi dalam data yang bocor di internet.
Dalam pengujian pribadi, sistem tersebut menyimpulkan “No Critical Data Exposed” untuk akun Instagram penulis, yang menandakan bahwa tidak ada informasi sensitif seperti kata sandi, nama akun, atau data finansial yang tersebar atau dijual di internet. Meskipun demikian, peringatan dari sistem Malwarebytes menekankan pentingnya kewaspadaan terhadap aspek keamanan lainnya, termasuk lokasi login yang tidak biasa, perangkat yang digunakan, serta komposisi kata sandi.
Detail Dugaan Kebocoran Data 17,5 Juta Akun Instagram
Malwarebytes melalui akun resmi mereka di platform X (@Malwarebytes) menjelaskan bahwa data dari belasan juta pengguna Instagram yang bocor ini diduga telah diperjualbelikan secara bebas di dark web. Penting untuk dicatat bahwa kebocoran ini tidak mencakup informasi kata sandi pengguna. Namun, data sensitif lainnya yang terungkap meliputi:
- Nama pengguna Instagram
- Nama lengkap pengguna
- Alamat email
- Nomor telepon
- Sebagian informasi alamat fisik
- Detail kontak lainnya
Menurut analisis Malwarebytes, peretas yang memiliki data ini tidak dapat langsung masuk ke akun Instagram karena tidak memiliki kata sandi. Namun, mereka dapat memanfaatkan informasi yang bocor, seperti alamat email atau nama pengguna, untuk menekan opsi “Forgot Password?” (Lupa Kata Sandi?). Permintaan reset password ini kemudian dikirimkan ke alamat email pengguna, sehingga pengguna secara tiba-tiba menerima notifikasi reset password yang sebenarnya dipicu oleh pihak ketiga.
Potensi Ancaman di Balik Email Reset Password
Meskipun efek yang paling terasa saat ini adalah munculnya permintaan reset password yang tidak diminta, Malwarebytes menegaskan bahwa data akun Instagram yang bocor ini memiliki potensi besar untuk disalahgunakan oleh pelaku kejahatan siber. Beberapa ancaman yang mungkin timbul meliputi:
- Serangan Impersonation: Pelaku kejahatan dapat berpura-pura menjadi korban untuk menipu rekan atau kerabat korban.
- Kampanye Phishing: Data yang bocor dapat digunakan untuk membuat email atau pesan phishing yang lebih meyakinkan, dengan tujuan mencuri informasi kredensial akun lainnya.
- Upaya Pencurian Kredensial: Informasi yang bocor dapat menjadi batu loncatan untuk upaya pencurian kredensial akun lain yang mungkin memiliki kata sandi serupa.
Oleh karena itu, pengguna yang menerima email reset password Instagram yang tidak diminta sangat disarankan untuk segera memeriksa keamanan akun mereka menggunakan metode yang telah disebutkan di atas.
Langkah-Langkah Penting untuk Mengamankan Akun Instagram
Selain melakukan pemeriksaan mandiri, pengguna disarankan untuk mengambil langkah-langkah proaktif berikut guna memperkuat keamanan akun Instagram mereka:
- Abaikan dan Laporkan Email Reset Password yang Tidak Diminta: Jika Anda menerima email reset password tanpa pernah memintanya, jangan panik. Kata sandi akun Anda tidak akan berubah jika Anda tidak mengklik tautan reset. Sebaiknya, abaikan email tersebut atau laporkan sebagai email yang mencurigakan.
- Aktifkan Autentikasi Dua Faktor (2FA): Fitur ini merupakan lapisan keamanan tambahan yang sangat penting. Dengan mengaktifkan 2FA, setiap upaya login dari perangkat yang tidak dikenal akan memerlukan kode verifikasi tambahan yang dikirimkan ke ponsel Anda, memastikan bahwa hanya Anda yang dapat mengakses akun.
- Ganti Kata Sandi Secara Berkala: Lakukan penggantian kata sandi secara manual melalui aplikasi Instagram. Pastikan kata sandi yang Anda pilih kuat, kombinasi huruf besar, huruf kecil, angka, dan simbol, serta berbeda dari kata sandi yang Anda gunakan untuk layanan lain.
- Waspadai Email atau Pesan yang Meminta Verifikasi Akun: Selalu berhati-hati terhadap setiap email atau pesan yang meminta Anda untuk memverifikasi akun atau memberikan informasi pribadi. Periksa kembali keaslian pengirim sebelum memberikan respons apa pun.
Diduga Berasal dari Celah API Lama
Malwarebytes menduga bahwa kebocoran data Instagram ini berawal dari sebuah insiden kebocoran API (Application Programming Interface) yang terjadi pada tahun 2024. Dataset yang bocor ini kemudian dipublikasikan ulang oleh seorang individu di dark web pada tanggal 7 Januari 2026. Unggahan tersebut mengklaim berisi lebih dari 17 juta data pengguna Instagram dalam format dokumen “JSON” dan “TXT”, yang menargetkan pengguna dari berbagai negara.
Menurut Malwarebytes, contoh data yang ditampilkan menunjukkan informasi mentah dari Instagram, seperti nama pengguna, alamat email, nomor telepon internasional, dan ID pengguna. Struktur data yang rapi dan konsisten ini menyerupai respons dari sebuah API, memperkuat dugaan bahwa data tersebut dikumpulkan melalui celah API, integrasi pihak ketiga yang tidak aman, atau konfigurasi sistem yang rentan sebelum tahun 2025.
Pihak Instagram sendiri telah memberikan respons terkait masalah yang memungkinkan pihak eksternal meminta pengguna untuk mengatur ulang kata sandi. Mereka menyatakan bahwa sistem inti Instagram diklaim tetap aman dan tidak ada kebocoran data pengguna yang terjadi.
“Kami telah memperbaiki masalah pihak luar yang memungkinkan pihak eksternal untuk mengirim permintaan email terkait pengaturan ulang kata sandi pada beberapa pengguna. Tidak ada pelanggaran terhadap sistem kami dan akun Instagram Anda aman. Anda dapat mengabaikan email tersebut. Mohon maaf atas ketidaknyamanan ini,” demikian pernyataan Instagram di platform X.
Meskipun demikian, langkah-langkah pencegahan dan kewaspadaan tetap menjadi kunci utama bagi pengguna untuk menjaga keamanan akun mereka di tengah maraknya ancaman siber.
