Pemerintah melalui Kementerian Komunikasi dan Digital memperketat pengawasan terhadap Instagram setelah muncul laporan dugaan kebocoran data yang dikaitkan dengan 17,5 juta akun pengguna di berbagai negara. Langkah ini diambil untuk memastikan keamanan data pribadi tetap terjaga dan mencegah kepanikan publik akibat informasi yang belum sepenuhnya terverifikasi.
Kasus ini mencuat pada awal Januari 2026, ketika sejumlah pengguna Instagram melaporkan menerima e-mail permintaan pengaturan ulang kata sandi tanpa pernah mengajukan permintaan tersebut. E-mail tersebut terlihat resmi dan menggunakan format yang menyerupai pemberitahuan asli Instagram. Situasi ini menimbulkan kekhawatiran, terutama di kalangan pengguna yang aktif dan menyimpan banyak data pribadi di akun media sosial mereka.
Laporan awal mengenai fenomena tersebut berasal dari perusahaan keamanan siber Malwarebytes. Dalam temuannya, Malwarebytes mencatat adanya lonjakan e-mail reset password yang dikirim secara massal ke jutaan akun Instagram secara global. Dari hasil pemantauan awal, jumlah akun yang dilaporkan terdampak mencapai sekitar 17,5 juta, termasuk akun milik pengguna di Indonesia.
Menindaklanjuti laporan tersebut, Kementerian Komunikasi dan Digital memanggil Meta selaku perusahaan induk Instagram. Pemanggilan ini bertujuan meminta penjelasan resmi terkait sumber masalah serta memastikan tidak terjadi pelanggaran kewajiban perlindungan data oleh penyelenggara sistem elektronik.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menjelaskan bahwa pertemuan klarifikasi dengan Meta telah dilakukan pada 14 Januari 2026. Dalam pertemuan tersebut, Meta diminta menjelaskan secara teknis mekanisme reset password Instagram, potensi celah keamanan, serta langkah mitigasi yang telah diterapkan.
Menurut Alexander, Meta menyampaikan bahwa fitur reset password merupakan mekanisme internal resmi yang dirancang untuk melindungi akun pengguna. Proses ini hanya dapat dilakukan oleh pemilik akun melalui alamat e-mail yang terdaftar. Meta menegaskan bahwa mekanisme tersebut tidak membuka akses kata sandi kepada pihak lain dan tidak memungkinkan pengambilan password oleh pihak eksternal.
Meta juga menyatakan tidak ditemukan indikasi kebocoran pada sistem inti Instagram. Kata sandi pengguna diklaim tetap aman dan tidak dapat diakses oleh pihak mana pun selain pemilik akun. Meski demikian, Alexander menegaskan bahwa pemerintah masih melakukan pendalaman lanjutan untuk memastikan seluruh penjelasan tersebut sesuai dengan fakta teknis di lapangan.
Pemanggilan dan klarifikasi terhadap Meta dilakukan berdasarkan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Aturan ini memberi kewenangan kepada pemerintah untuk mengawasi penyelenggara sistem elektronik, termasuk meminta klarifikasi, melakukan evaluasi, serta memastikan perlindungan data pribadi pengguna.
Di sisi lain, Meta juga menyampaikan pernyataan terbuka kepada publik. Pihak Instagram menyebut tidak terjadi pelanggaran terhadap sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyatakan bahwa masalah tersebut telah diperbaiki. Meta memastikan akun pengguna tetap aman dan meminta pengguna mengabaikan e-mail reset password yang tidak pernah diminta. Perusahaan juga menyampaikan permohonan maaf atas kebingungan dan ketidaknyamanan yang dialami pengguna akibat insiden ini.
Penjelasan Meta tersebut sejalan dengan analisis Malwarebytes. Perusahaan keamanan siber itu menduga insiden ini tidak berasal dari peretasan langsung sistem Instagram. Mereka menilai sumber masalah kemungkinan berkaitan dengan kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024.
Dataset lama yang diduga berasal dari celah API tersebut disebut kembali beredar setelah dipublikasikan ulang oleh pihak tertentu di dark web pada awal Januari 2026. Dataset tersebut diklaim berisi lebih dari 17 juta data pengguna Instagram dari berbagai negara dan tersedia dalam format dokumen JSON serta TXT.
Contoh data yang dianalisis menunjukkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, dan user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025. Meski demikian, tidak ditemukan bukti bahwa kata sandi pengguna ikut bocor.
Walaupun sistem inti Instagram diklaim aman, para analis keamanan mengingatkan adanya risiko lanjutan. Lonjakan e-mail reset password palsu dinilai dapat dimanfaatkan pelaku kejahatan siber untuk melakukan serangan phising. Dalam skema ini, pelaku berupaya menipu pengguna agar mengeklik tautan berbahaya atau memasukkan informasi pribadi ke situs palsu.
Phising merupakan metode penipuan digital yang umum terjadi. Pelaku biasanya menyamar sebagai layanan resmi dan mengirim pesan yang tampak meyakinkan. Jika pengguna lengah, data pribadi yang dimasukkan dapat disalahgunakan atau akun media sosial dapat diambil alih.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah terpengaruh oleh informasi yang belum terverifikasi. Pemerintah juga menekankan pentingnya literasi digital serta kewaspadaan dalam menjaga keamanan akun di tengah meningkatnya ancaman kejahatan siber.
Pengguna Instagram disarankan melakukan beberapa langkah pencegahan. Pertama, mengaktifkan fitur otentikasi dua langkah atau two-factor authentication untuk menambah lapisan keamanan. Kedua, rutin memeriksa daftar perangkat yang pernah masuk ke akun Instagram guna memastikan tidak ada aktivitas mencurigakan. Ketiga, mengabaikan e-mail reset password yang tidak pernah diminta dan tidak mengeklik tautan yang meragukan.
Hingga saat ini, proses pemeriksaan dan klarifikasi antara Kemkomdigi dan Meta masih berlangsung. Pemerintah menyatakan akan menyampaikan hasil evaluasi lanjutan setelah pendalaman selesai dilakukan. Kasus ini kembali menegaskan pentingnya pengawasan pemerintah, tanggung jawab platform digital, serta kesadaran pengguna dalam menjaga keamanan data pribadi di ruang digital.