Kincai Media – Jika belakangan ini kotak masuk e-mail Anda mendadak dibanjiri notifikasi permintaan reset password IG padahal Anda tidak memintanya, jangan buru-buru panik namun tetaplah waspada. Fenomena menjengkelkan ini rupanya bukan sekadar gangguan teknis biasa, melainkan indikasi kuat dari akibat kebocoran informasi (data breach) masif yang disinyalir menimpa sekitar 17,5 juta akun pengguna di seluruh dunia.
Kabar kurang sedap ini mencuat setelah perusahaan keamanan siber ternama, Malwarebytes, membeberkan temuannya. Melalui akun resmi mereka di platform X, Malwarebytes mengungkap bahwa belasan juta informasi pengguna IG tersebut telah bocor, tersebar, apalagi diperjualbelikan secara bebas di pasar gelap internet namalain dark web.
Kasus ini menjadi peringatan keras bagi pengguna media sosial untuk lebih serius amankan informasi pribadi mereka di ranah digital. Meskipun pihak IG belum memberikan konfirmasi resmi secara mendetail, pola serangan yang terjadi mengindikasikan adanya celah keamanan yang sukses dieksploitasi oleh pihak tidak bertanggung jawab.
Modus “Spam” Reset Password
Mungkin Anda bertanya-tanya, jika informasi bocor, kenapa yang muncul adalah e-mail permintaan tukar kata sandi? Di sinilah letak ironinya. Menurut kajian Malwarebytes, informasi yang bocor tersebut mencakup beragam info sensitif seperti username, alamat e-mail, nomor telepon internasional, hingga User ID.
Namun, berita baik di tengah situasi jelek ini adalah: password akun tidak ikut bocor. Karena tidak mempunyai kunci akses utama namalain kata sandi, para peretas (hacker) ini memutar otak dengan langkah yang cukup primitif namun mengganggu.
Mereka memanfaatkan informasi e-mail alias username yang mereka dapatkan dari hasil rampasan tersebut, lampau memasukkannya ke laman login Instagram. Selanjutnya, mereka menekan tombol “Forgot Password” secara massal. Akibatnya, sistem IG secara otomatis mengirimkan e-mail tautan pemulihan ke alamat korban yang sah.
Taktik ini menciptakan kebingungan dan kepanikan. Malwarebytes memperingatkan bahwa meskipun peretas tidak bisa masuk ke akun Anda hanya dengan informasi tersebut, situasi ini membuka kesempatan bagi pelaku kejahatan siber untuk melancarkan tindakan penipuan lanjutan. Jika Anda panik, Anda mungkin menjadi sasaran lembek bagi mereka yang mau mengambil alih akun kena hack.
Potensi ancaman yang mengintai meliputi serangan manipulasi alias impersonation attack, di mana peretas berpura-pura menjadi korban untuk menipu kerabat dekat. Selain itu, akibat kampanye phishing hingga pencurian kredensial akun menjadi jauh lebih tinggi ketika informasi kontak pengguna sudah berada di tangan kriminal.
Jejak Kebocoran API
Menelusuri asal muasal kebocoran ini, informasi yang beredar diduga kuat berasal dari celah pada API (Application Programming Interface) Instagram. Malwarebytes mencatat bahwa kejadian kebocoran awal kemungkinan terjadi pada tahun 2024. Namun, dataset tersebut baru dipublikasikan ulang dan diklaim oleh seorang oknum di dark web pada 7 Januari 2026.
Oknum tersebut menyatakan memegang lebih dari 17 juta informasi pengguna dalam format arsip “JSON” dan “TXT”. Struktur informasi yang ditampilkan terlihat sangat rapi dan konsisten, menyerupai respons mentah (raw) dari sistem API. Hal ini memperkuat dugaan bahwa informasi tersebut dikeruk (scraped) melalui celah integrasi pihak ketiga alias konfigurasi sistem yang tidak kondusif sebelum tahun 2025.
Bagi pengguna yang merasa terdampak alias khawatir, sangat disarankan untuk segera meninjau pengaturan keamanan. Mengaktifkan fitur verifikasi dua langkah adalah tembok pertahanan terbaik saat ini. Selain itu, mengetahui langkah pulihkan akun sejak awal bisa menjadi langkah preventif yang krusial jika skenario terburuk terjadi.
English (US) · 
Indonesian (ID) ·