Kementerian Komunikasi dan Digital memperkuat pengawasan terhadap Instagram setelah muncul laporan dugaan kebocoran data yang dikaitkan dengan sekitar 17,5 juta akun pengguna di berbagai negara. Pemerintah menilai langkah ini penting untuk memastikan keamanan data pribadi tetap terlindungi dan menjaga kepercayaan publik terhadap layanan digital yang digunakan secara luas oleh masyarakat Indonesia.
Kasus ini bermula dari laporan sejumlah pengguna Instagram yang menerima e-mail permintaan pengaturan ulang kata sandi tanpa pernah mengajukan permintaan tersebut. E-mail tersebut terlihat resmi, menggunakan logo dan format yang menyerupai pemberitahuan asli dari Instagram. Kondisi ini menimbulkan kekhawatiran di kalangan pengguna, terutama terkait kemungkinan data akun telah bocor atau disalahgunakan.
Temuan awal mengenai fenomena ini disampaikan oleh perusahaan keamanan siber Malwarebytes. Dalam laporannya, Malwarebytes mencatat adanya lonjakan pengiriman e-mail reset password Instagram yang terjadi secara massal pada awal Januari 2026. Berdasarkan analisis sementara, jumlah akun yang diduga terdampak mencapai sekitar 17,5 juta akun secara global, termasuk sejumlah akun milik pengguna di Indonesia.
Menanggapi laporan tersebut, Kementerian Komunikasi dan Digital memanggil Meta sebagai perusahaan induk Instagram. Pemanggilan ini dilakukan untuk meminta klarifikasi langsung sekaligus memastikan apakah terdapat pelanggaran kewajiban perlindungan data oleh penyelenggara sistem elektronik yang beroperasi di Indonesia.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menjelaskan bahwa pertemuan klarifikasi dengan Meta telah dilakukan pada 14 Januari 2026. Dalam pertemuan tersebut, pemerintah meminta Meta menjelaskan secara teknis mekanisme pengaturan ulang kata sandi Instagram, potensi celah keamanan, serta langkah perbaikan yang telah dan akan dilakukan.
Menurut Alexander, Meta menyampaikan bahwa fitur reset password Instagram merupakan mekanisme internal resmi yang dirancang untuk melindungi akun pengguna. Proses tersebut hanya dapat dilakukan oleh pemilik akun melalui alamat e-mail yang terdaftar. Meta menegaskan bahwa sistem ini tidak memberikan akses kata sandi kepada pihak lain dan tidak memungkinkan pihak eksternal memperoleh password pengguna.
Meta juga menyebut tidak ditemukan indikasi kebocoran pada sistem inti Instagram. Kata sandi pengguna diklaim tetap aman dan terenkripsi, sehingga tidak dapat diakses oleh pihak mana pun selain pemilik akun. Meski demikian, Alexander menegaskan bahwa pemerintah masih melakukan pendalaman lanjutan sebelum menarik kesimpulan akhir.
Pemanggilan Meta merupakan bagian dari kewenangan pemerintah yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Regulasi tersebut mengatur tanggung jawab penyelenggara sistem elektronik dalam menjaga keamanan sistem, melindungi data pribadi pengguna, serta bersikap kooperatif dalam proses pengawasan oleh otoritas.
Selain memberikan penjelasan kepada pemerintah, Meta juga menyampaikan klarifikasi kepada publik. Pihak Instagram menyatakan tidak terjadi pelanggaran terhadap sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyebut masalah tersebut telah diperbaiki. Meta memastikan akun pengguna tetap aman dan meminta pengguna untuk mengabaikan e-mail reset password yang tidak pernah diminta. Perusahaan juga menyampaikan permohonan maaf atas kebingungan dan ketidaknyamanan yang dialami pengguna akibat insiden tersebut.
Penjelasan Meta ini sejalan dengan analisis Malwarebytes. Perusahaan keamanan siber tersebut menduga insiden ini tidak berasal dari peretasan langsung terhadap sistem Instagram. Mereka menilai sumber masalah kemungkinan berkaitan dengan kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024.
Dataset lama yang diduga berasal dari celah API tersebut disebut kembali beredar setelah dipublikasikan ulang oleh pihak tertentu di dark web pada awal Januari 2026. Dataset tersebut diklaim berisi lebih dari 17 juta data pengguna Instagram dari berbagai negara, dengan format dokumen JSON dan TXT.
Contoh data yang dianalisis menunjukkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, serta user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025. Namun, tidak ditemukan bukti bahwa kata sandi pengguna ikut bocor dalam insiden ini.
Meski sistem inti Instagram diklaim aman, para analis keamanan mengingatkan adanya risiko lanjutan bagi pengguna. Lonjakan e-mail reset password palsu dinilai dapat dimanfaatkan pelaku kejahatan siber untuk melakukan serangan phising. Dalam skema ini, pelaku berupaya mengelabui pengguna agar mengeklik tautan berbahaya atau memasukkan informasi pribadi ke situs palsu.
Phising merupakan salah satu modus penipuan digital yang paling umum. Pelaku biasanya menyamar sebagai layanan resmi dengan tampilan pesan yang meyakinkan. Jika pengguna lengah, data pribadi yang dimasukkan dapat disalahgunakan atau akun media sosial dapat diambil alih.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah terpengaruh oleh informasi yang belum terverifikasi. Pemerintah juga menekankan pentingnya kewaspadaan dan literasi digital dalam menggunakan layanan daring, terutama media sosial.
Pengguna Instagram disarankan melakukan beberapa langkah pencegahan. Pertama, mengaktifkan fitur otentikasi dua langkah atau two-factor authentication untuk menambah lapisan keamanan. Kedua, rutin memeriksa daftar perangkat yang pernah masuk ke akun Instagram guna memastikan tidak ada aktivitas mencurigakan. Ketiga, mengabaikan e-mail reset password yang tidak pernah diminta dan tidak mengeklik tautan yang meragukan.
Hingga kini, proses pemeriksaan dan klarifikasi antara Kemkomdigi dan Meta masih berlangsung. Pemerintah menyatakan akan menyampaikan hasil evaluasi lanjutan setelah seluruh proses pendalaman selesai dilakukan. Kasus ini menjadi pengingat bahwa keamanan data digital memerlukan pengawasan aktif dari pemerintah, tanggung jawab platform, serta kesadaran pengguna dalam menjaga akun pribadi mereka di ruang digital.