Kementerian Komunikasi dan Digital masih melanjutkan proses pendalaman terkait dugaan kebocoran data yang melibatkan sekitar 17,5 juta akun Instagram di berbagai negara. Perhatian publik terhadap kasus ini muncul setelah banyak pengguna melaporkan menerima e-mail permintaan pengaturan ulang kata sandi tanpa pernah mengajukan permintaan tersebut sebelumnya.
Fenomena e-mail reset password yang datang secara tiba-tiba ini menimbulkan kekhawatiran di kalangan pengguna. Banyak yang mempertanyakan apakah sistem Instagram telah diretas dan apakah data pribadi mereka telah jatuh ke tangan pihak tidak bertanggung jawab. Situasi ini mendorong pemerintah untuk segera meminta penjelasan resmi dari pihak terkait.
Menindaklanjuti laporan tersebut, Kementerian Komunikasi dan Digital memanggil Meta selaku perusahaan induk Instagram. Pemanggilan ini dilakukan sebagai bagian dari fungsi pengawasan pemerintah terhadap penyelenggara sistem elektronik yang beroperasi di Indonesia.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menjelaskan bahwa pertemuan klarifikasi dengan Meta telah dilakukan pada 14 Januari 2026. Dalam pertemuan tersebut, pemerintah meminta Meta menjelaskan secara rinci penyebab insiden, alur kerja sistem reset password, serta langkah perbaikan yang telah dilakukan.
Menurut Alexander, Meta menyampaikan bahwa mekanisme reset password Instagram merupakan fitur resmi yang dirancang untuk melindungi akun pengguna. Proses ini berjalan melalui sistem internal dan hanya dapat diselesaikan oleh pemilik akun yang memiliki akses ke alamat e-mail terdaftar. Meta menegaskan bahwa mekanisme tersebut tidak membuka akses kata sandi kepada pihak lain.
Meta juga menyatakan tidak ditemukan indikasi kebocoran pada sistem inti Instagram. Kata sandi pengguna diklaim tetap aman dan tidak dapat diakses oleh pihak eksternal. Kendati demikian, Alexander menegaskan bahwa proses pendalaman oleh Kemkomdigi masih berlangsung dan belum sampai pada kesimpulan akhir.
Pemanggilan Meta dilakukan berdasarkan kewenangan yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Aturan ini mengatur kewajiban penyelenggara sistem elektronik untuk menjaga keamanan sistem serta melindungi data pribadi pengguna.
Selain klarifikasi kepada pemerintah, Meta juga menyampaikan penjelasan terbuka kepada publik. Pihak Instagram menyatakan tidak terjadi pelanggaran terhadap sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyebut bahwa masalah tersebut telah diperbaiki. Meta memastikan akun pengguna tetap aman dan meminta pengguna mengabaikan e-mail reset password yang tidak pernah diminta. Perusahaan juga menyampaikan permohonan maaf atas ketidaknyamanan yang dialami pengguna akibat insiden ini.
Penjelasan tersebut sejalan dengan analisis dari perusahaan keamanan siber Malwarebytes. Dalam laporannya, Malwarebytes menduga insiden ini tidak berasal dari peretasan langsung terhadap sistem Instagram. Mereka menilai sumber masalah kemungkinan terkait kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024.
Dataset lama yang diduga berasal dari celah API tersebut disebut kembali dipublikasikan oleh pihak tertentu di dark web pada awal Januari 2026. Dataset itu diklaim berisi lebih dari 17 juta data pengguna Instagram dari berbagai negara.
Data yang beredar disebut tersedia dalam format dokumen JSON dan TXT. Contoh data yang dianalisis menunjukkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, serta user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025.
Walaupun tidak ditemukan kebocoran kata sandi, para analis keamanan menilai risiko bagi pengguna tetap ada. Lonjakan e-mail reset password palsu dinilai dapat dimanfaatkan pelaku kejahatan siber untuk melancarkan serangan phising. Dalam skema ini, pelaku berusaha menipu pengguna agar mengeklik tautan berbahaya atau memasukkan informasi pribadi ke situs palsu.
Phising merupakan modus penipuan digital yang umum terjadi. Pelaku biasanya menyamar sebagai layanan resmi dan mengirim pesan yang tampak meyakinkan. Jika pengguna tidak teliti dan mengikuti instruksi dalam pesan palsu tersebut, data pribadi dapat disalahgunakan atau akun dapat diambil alih.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah terpengaruh oleh informasi yang belum terverifikasi. Pemerintah juga menekankan pentingnya kewaspadaan dalam menjaga keamanan akun digital, terutama di tengah meningkatnya aktivitas kejahatan siber.
Pengguna Instagram disarankan mengambil langkah pencegahan tambahan untuk melindungi akun mereka. Salah satu langkah utama adalah mengaktifkan fitur otentikasi dua langkah atau two-factor authentication. Fitur ini menambahkan lapisan keamanan selain kata sandi. Selain itu, pengguna dianjurkan rutin memeriksa daftar perangkat yang pernah masuk ke akun Instagram untuk memastikan tidak ada aktivitas mencurigakan.
Pengguna juga diminta tidak mengklik tautan dalam e-mail reset password jika tidak merasa pernah mengajukan permintaan tersebut. Mengabaikan pesan mencurigakan dan selalu memeriksa sumber informasi dinilai sebagai langkah sederhana namun efektif untuk menghindari penipuan digital.
Hingga kini, proses klarifikasi antara Kemkomdigi dan Meta masih berlanjut. Pemerintah menyatakan akan menyampaikan hasil evaluasi lanjutan setelah pendalaman selesai dilakukan. Kasus ini menjadi pengingat bahwa perlindungan data digital membutuhkan peran aktif penyelenggara platform serta kewaspadaan pengguna dalam menjaga keamanan data pribadi di ruang digital.
