Komdigi Usut Dugaan Kebocoran Data Jutaan Akun Instagram

Kementerian Komunikasi dan Digital (Kemkomdigi) memanggil Meta, perusahaan induk Instagram, menyusul laporan dugaan kebocoran data yang diduga berdampak pada sekitar 17,5 juta akun pengguna Instagram di berbagai negara, termasuk Indonesia. Pemanggilan ini dilakukan sebagai langkah klarifikasi atas temuan perusahaan keamanan siber Malwarebytes pada awal Januari 2026.

Laporan tersebut bermula dari banyaknya pengguna Instagram yang menerima e-mail permintaan pengaturan ulang kata sandi (reset password), padahal mereka tidak pernah mengajukan permintaan tersebut. Fenomena ini menimbulkan kekhawatiran akan adanya kebocoran data atau penyalahgunaan sistem yang dapat membahayakan keamanan akun pengguna.

Menindaklanjuti laporan tersebut, Kemkomdigi melakukan pertemuan klarifikasi dengan Meta pada 14 Januari 2026. Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menjelaskan bahwa Meta telah memberikan penjelasan terkait mekanisme reset password yang digunakan oleh Instagram.

Menurut Alexander, Meta menegaskan bahwa proses pengaturan ulang kata sandi merupakan mekanisme internal resmi Instagram dan tidak membuka akses kata sandi pengguna kepada pihak lain. “Tidak ada password pengguna yang dapat diakses atau diperoleh oleh pihak mana pun selain pemilik akun itu sendiri. Selain itu, tidak ditemukan indikasi penyalahgunaan fitur reset password untuk pengambilan data oleh pihak eksternal,” ujar Alexander, dikutip dari keterangan resmi Komdigi, Sabtu (17/1/2026).

Meski demikian, Alexander menegaskan bahwa proses pendalaman masih terus berlangsung. Hasil dari klarifikasi ini nantinya akan menjadi dasar evaluasi lanjutan oleh Komdigi. Ia juga menekankan bahwa pemanggilan dan klarifikasi terhadap Penyelenggara Sistem Elektronik (PSE) merupakan kewenangan Kemkomdigi sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Di sisi lain, Meta juga telah memberikan pernyataan resmi terkait isu ini. Dalam pernyataan yang disampaikan pada Minggu (11/1/2026) waktu Amerika Serikat, Instagram mengakui adanya masalah yang memungkinkan pihak eksternal mengirimkan permintaan e-mail pengaturan ulang kata sandi kepada sejumlah pengguna.

Namun, Instagram menegaskan bahwa sistem inti mereka tetap aman dan tidak terjadi pelanggaran data pengguna. “Kami telah memperbaiki masalah dari pihak luar yang memungkinkan pengiriman e-mail reset password kepada sebagian pengguna. Tidak ada pelanggaran terhadap sistem kami dan akun Instagram Anda tetap aman,” tulis Instagram melalui platform X. Pihak Instagram juga meminta pengguna untuk mengabaikan e-mail tersebut dan menyampaikan permohonan maaf atas ketidaknyamanan yang terjadi.

Temuan Meta ini sejalan dengan analisis Malwarebytes yang menduga bahwa insiden tersebut berkaitan dengan kebocoran API Instagram yang terjadi pada 2024. Dataset lama tersebut diduga dipublikasikan ulang oleh pihak tak bertanggung jawab di dark web pada 7 Januari 2026. Oknum tersebut mengklaim memiliki lebih dari 17 juta data pengguna Instagram dalam format JSON dan TXT, dengan target pengguna dari berbagai negara.

Malwarebytes menyebut contoh data yang ditampilkan memang berisi informasi mentah seperti username, alamat e-mail, nomor telepon internasional, hingga user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang kurang aman sebelum 2025.

Lebih lanjut, Malwarebytes juga mengingatkan bahwa lonjakan e-mail permintaan reset password berpotensi dimanfaatkan untuk serangan phishing. Meski tidak mencuri kata sandi secara langsung, pelaku dapat terus mengirim permintaan reset untuk memancing pengguna mengeklik tautan palsu dan menyerahkan informasi pribadi mereka.

Sebagai langkah pencegahan, Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah terpengaruh informasi yang belum terverifikasi. Pengguna juga disarankan untuk meningkatkan keamanan akun, seperti mengaktifkan otentikasi dua langkah (2FA), memantau aktivitas login akun, serta tidak mengeklik tautan mencurigakan dari e-mail yang tidak diminta. Dengan kewaspadaan dan perlindungan berlapis, risiko pengambilalihan akun dapat diminimalkan.