Kepanikan Global Akibat Reset Password Massal
Awal tahun 2026 dibuka dengan kabar yang mengejutkan dunia digital. Ratusan ribu pengguna Instagram di berbagai negara, termasuk Indonesia, mengaku menerima notifikasi mendadak untuk mengganti password akun mereka.
Bukan satu atau dua kali, beberapa pengguna bahkan melaporkan menerima email reset password berulang dalam kurun waktu hanya beberapa hari. Kabar ini segera mengarah pada satu dugaan besar: terjadi kebocoran data pengguna secara masif.
Menurut laporan terbaru dari Malwarebytes, perusahaan keamanan siber asal Amerika Serikat, insiden ini melibatkan 17,5 juta akun aktif Instagram. Data yang bocor mencakup nama pengguna, alamat email, nomor telepon, hingga informasi lokasi fisik, yang kini telah beredar di dark web — lapisan internet yang tak terindeks mesin pencari umum.
Jejak Lama API Instagram yang Kembali Menghantui
Menariknya, investigasi Malwarebytes menemukan bahwa data tersebut bukan hasil serangan baru. Sebaliknya, kebocoran ini berakar dari celah lama pada API publik Instagram yang sempat ditemukan pada akhir 2024.
Saat itu, bug API memungkinkan pihak luar mengumpulkan data publik pengguna dalam jumlah besar secara otomatis (scraping). Meski Meta selaku induk perusahaan Instagram mengklaim telah menutup celah itu pada pertengahan 2025, data yang terlanjur diunduh tampaknya kini “dihidupkan kembali” di pasar gelap digital.
Laporan dari Cybersecuritynews bahkan menemukan bahwa pelaku bernama samaran “Subkek” menawarkan database tersebut secara terbuka di forum bawah tanah. Dalam tangkapan layar yang dibagikan, informasi pengguna tampak jelas lengkap dengan alamat email, nomor HP, dan negara asal.
“Data ini bukan hasil peretasan baru, tapi legacy leak — kebocoran lama yang muncul kembali dengan konteks baru,” tulis Malwarebytes dalam laporannya.
Efek Domino: Dari Dark Web ke Kotak Masuk Pengguna
Ketika data pribadi seseorang beredar di dark web, dampaknya sering kali tidak langsung terasa. Namun kali ini berbeda. Banyak pengguna mulai menerima permintaan reset password palsu — kemungkinan dikirim oleh pihak ketiga yang memanfaatkan data bocor tersebut untuk melakukan serangan phishing.
Beberapa korban bahkan mengaku sempat kehilangan akses akun setelah secara tak sengaja mengklik tautan dari email yang tampak “resmi”.
Di Indonesia, Anggri (34), salah satu pengguna aktif Instagram, menceritakan bahwa ia menerima dua kali email reset password pada 6 dan 10 Januari 2026. “Saya pikir akun saya diretas karena notifikasinya datang dari alamat email Instagram asli. Tapi setelah saya cek, banyak teman yang juga mengalaminya,” ujarnya.
Pengalaman serupa juga dialami Denis, pengguna lain yang justru memilih untuk mengabaikan notifikasi karena takut menjadi korban scam. “Saya kira itu trik pancingan. Sekarang saya baru sadar mungkin memang ada kebocoran data besar,” katanya.
Meta Masih Bungkam, Publik Bertanya
Hingga berita ini diterbitkan, Meta belum memberikan pernyataan resmi. Perusahaan induk Facebook, WhatsApp, dan Instagram itu masih diam terhadap laporan dugaan kebocoran ini.
Sikap diam Meta menimbulkan beragam spekulasi. Sebagian pakar menilai perusahaan tengah mengumpulkan bukti dan menelusuri sumber kebocoran, sementara pihak lain menilai Meta sengaja menahan komentar untuk meredam kepanikan publik.
Padahal, menurut data Statista 2025, lebih dari 2,5 miliar pengguna aktif mengakses Instagram setiap bulannya. Artinya, insiden ini, meski “hanya” melibatkan 17,5 juta akun, tetap memiliki potensi risiko keamanan global.
Pakar Keamanan: Ini Saatnya Bijak Mengelola Identitas Digital
Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja, menilai fenomena ini bukan hanya soal kebocoran data, tetapi juga kurangnya kesadaran pengguna terhadap keamanan digital pribadi.
“Banyak pengguna yang masih menganggap mengganti password itu merepotkan, padahal justru itu langkah pencegahan paling sederhana,” ujar Ardi. Ia menambahkan, meski email reset tampak asli, pengguna tidak boleh mengklik tautan langsung dari pesan tersebut. Cara paling aman adalah mengganti password langsung dari aplikasi Instagram resmi yang sudah terverifikasi di perangkat.
Ardi juga menegaskan pentingnya Two-Factor Authentication (2FA). “Ketika data Anda bocor, 2FA adalah garis pertahanan terakhir. Tanpa itu, siapa pun yang punya password bisa menguasai akun Anda,” katanya.
Mengapa Kebocoran Data Terus Terulang?
Bila ditelusuri lebih dalam, kasus seperti ini bukan kali pertama menimpa Meta. Pada 2021, data 533 juta pengguna Facebook juga sempat bocor dan dijual di forum bawah tanah. Polanya hampir identik: data lama dari API publik yang disalahgunakan oleh pihak ketiga.
Penyebabnya kompleks — mulai dari arsitektur sistem yang sangat besar, keterlambatan deteksi, hingga praktik keamanan pengguna yang lemah. Bahkan, ketika perusahaan telah menambal celahnya, data yang sudah bocor tetap bisa disebarkan berulang kali, sebab tidak ada mekanisme global untuk benar-benar “menghapus” informasi pribadi dari internet.
Fenomena ini memperlihatkan bahwa di era digital, data bersifat abadi. Sekali bocor, maka ia akan selamanya menjadi bagian dari ekosistem gelap dunia maya.
Langkah Aman: Dari Reset hingga Edukasi Diri
Untuk pengguna Instagram yang khawatir menjadi korban, pakar keamanan menyarankan beberapa langkah mitigasi praktis:
- Ganti password secara berkala dan hindari menggunakan kombinasi yang sama dengan platform lain.
- Aktifkan verifikasi dua langkah (2FA) untuk menambah lapisan keamanan.
- Periksa aktivitas login akun. Bila menemukan perangkat asing, segera keluarkan akses tersebut.
- Laporkan email mencurigakan ke phish@instagram.com.
- Gunakan password manager agar tidak perlu mengingat banyak kata sandi.
Langkah sederhana ini mungkin terdengar sepele, tapi dalam konteks digital modern, inilah “tameng” terbaik yang dimiliki pengguna.
Penutup: Saatnya Waspada, Bukan Paranoid
Kasus dugaan kebocoran data 17,5 juta akun Instagram menjadi alarm keras bahwa keamanan digital kini bukan hanya tanggung jawab perusahaan teknologi, tetapi juga pengguna.
Meskipun Meta belum memberikan klarifikasi resmi, bukti-bukti di lapangan menunjukkan bahwa ancaman terhadap privasi digital nyata adanya. Dunia digital yang kita nikmati setiap hari — tempat berbagi foto, berinteraksi, dan bekerja — juga bisa menjadi medan yang rentan jika kesadaran keamanan masih rendah.
Pada akhirnya, menjaga privasi di dunia maya bukan sekadar soal teknologi, melainkan juga tentang kebiasaan, kewaspadaan, dan tanggung jawab pribadi.
Aaf Afiatna (Aura OS) adalah seorang WordPress Developer, Administrator IT, dan penggerak di balik infrastruktur berbagai portal media digital PT Arina Duta Sehati. Ia memiliki ketertarikan mendalam pada rekayasa sistem tingkat rendah, implementasi AI on-device, dan pengembangan proyek open-source seperti Neural Standby Kernel (NSK). Saat tidak sedang berurusan dengan server atau kode, ia aktif mengeksplorasi ekosistem Web3 dan berbagi wawasan melalui channel YouTube CryptoFansWorld.
Komentar