Kementerian Komunikasi dan Digital memperluas pemeriksaan terhadap Instagram setelah muncul laporan dugaan kebocoran data yang dikaitkan dengan sekitar 17,5 juta akun pengguna di berbagai negara. Pemerintah menilai pemeriksaan lanjutan ini penting untuk memastikan keamanan data pribadi tetap terjaga serta memastikan platform digital mematuhi aturan yang berlaku di Indonesia.
Kasus ini bermula dari laporan sejumlah pengguna Instagram yang menerima e-mail permintaan pengaturan ulang kata sandi tanpa pernah mengajukan permintaan tersebut. E-mail tersebut tampak seperti pemberitahuan resmi, lengkap dengan logo dan format yang menyerupai komunikasi asli Instagram. Situasi ini menimbulkan kekhawatiran di tengah masyarakat, terutama terkait kemungkinan adanya kebocoran data atau penyalahgunaan sistem.
Laporan awal terkait kejadian ini disampaikan oleh perusahaan keamanan siber Malwarebytes. Dalam analisisnya, Malwarebytes mencatat lonjakan pengiriman e-mail reset password yang terjadi secara massal pada awal Januari 2026. Berdasarkan penelusuran awal, jumlah akun yang dilaporkan terdampak mencapai sekitar 17,5 juta akun secara global, termasuk akun milik pengguna di Indonesia.
Menanggapi temuan tersebut, Kementerian Komunikasi dan Digital memanggil Meta sebagai perusahaan induk Instagram untuk memberikan klarifikasi resmi. Pemerintah meminta penjelasan menyeluruh guna memastikan tidak ada pelanggaran terhadap kewajiban perlindungan data pribadi pengguna.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menyampaikan bahwa klarifikasi dengan Meta telah dilakukan pada 14 Januari 2026. Dalam pertemuan tersebut, Meta diminta menjelaskan asal-usul insiden, cara kerja sistem reset password Instagram, serta langkah mitigasi yang telah dilakukan untuk mencegah kejadian serupa terulang.
Menurut Alexander, Meta menegaskan bahwa fitur reset password Instagram merupakan mekanisme internal resmi. Sistem ini dirancang agar hanya pemilik akun yang dapat mengatur ulang kata sandi melalui alamat e-mail terdaftar. Meta menyatakan mekanisme tersebut tidak memberikan akses kata sandi kepada pihak lain dan tidak membuka celah bagi pengambilan password oleh pihak eksternal.
Meta juga menyebut tidak ditemukan indikasi kebocoran pada sistem inti Instagram. Kata sandi pengguna diklaim tetap aman dan terenkripsi. Meski demikian, Alexander menegaskan bahwa pemerintah masih melakukan pendalaman lanjutan untuk memastikan seluruh penjelasan tersebut sesuai dengan hasil evaluasi teknis yang dilakukan oleh otoritas.
Pemanggilan Meta merupakan bagian dari kewenangan pemerintah sebagaimana diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Regulasi tersebut mengatur kewajiban penyelenggara sistem elektronik dalam menjaga keamanan sistem, melindungi data pribadi pengguna, serta bersikap kooperatif dalam proses pengawasan.
Selain memberikan penjelasan kepada pemerintah, Meta juga menyampaikan klarifikasi terbuka kepada publik. Pihak Instagram menyatakan tidak terjadi pelanggaran terhadap sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyebut bahwa masalah tersebut telah diperbaiki. Meta memastikan akun pengguna tetap aman dan meminta pengguna mengabaikan e-mail reset password yang tidak pernah diminta. Perusahaan juga menyampaikan permohonan maaf atas ketidaknyamanan yang dialami pengguna akibat insiden ini.
Penjelasan tersebut sejalan dengan analisis Malwarebytes. Perusahaan keamanan siber ini menduga insiden tidak berasal dari peretasan langsung terhadap sistem Instagram. Mereka menilai sumber masalah kemungkinan berkaitan dengan kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024.
Dataset lama yang diduga berasal dari celah API tersebut disebut kembali beredar setelah dipublikasikan ulang oleh pihak tertentu di dark web pada awal Januari 2026. Dataset tersebut diklaim berisi lebih dari 17 juta data pengguna Instagram dari berbagai negara. Data tersebut tersedia dalam format dokumen JSON dan TXT.
Contoh data yang dianalisis menunjukkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, dan user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025. Namun, tidak ditemukan bukti bahwa kata sandi pengguna ikut bocor.
Walaupun tidak ditemukan kebocoran kata sandi, para analis keamanan menilai risiko terhadap pengguna tetap ada. Lonjakan e-mail reset password palsu dinilai berpotensi meningkatkan serangan phising. Dalam skema ini, pelaku kejahatan siber berusaha mengelabui pengguna agar mengeklik tautan berbahaya atau memasukkan informasi pribadi ke situs palsu.
Phising merupakan salah satu metode penipuan digital yang paling sering terjadi. Pelaku biasanya menyamar sebagai layanan resmi dengan tampilan pesan yang meyakinkan. Jika pengguna lengah, data pribadi yang dimasukkan dapat disalahgunakan atau akun media sosial dapat diambil alih.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah terpengaruh oleh informasi yang belum terverifikasi. Pemerintah juga menekankan pentingnya literasi digital serta kewaspadaan dalam menjaga keamanan akun daring di tengah meningkatnya ancaman kejahatan siber.
Pengguna Instagram disarankan melakukan beberapa langkah pencegahan. Pertama, mengaktifkan fitur otentikasi dua langkah atau two-factor authentication untuk menambah lapisan keamanan. Kedua, rutin memeriksa perangkat yang pernah masuk ke akun Instagram guna memastikan tidak ada aktivitas mencurigakan. Ketiga, mengabaikan e-mail reset password yang tidak pernah diminta dan tidak mengeklik tautan yang meragukan.
Hingga kini, proses pemeriksaan dan klarifikasi antara Kemkomdigi dan Meta masih berlangsung. Pemerintah menyatakan akan menyampaikan hasil evaluasi lanjutan setelah seluruh proses pendalaman selesai dilakukan. Kasus ini menjadi pengingat bahwa perlindungan data digital membutuhkan pengawasan berkelanjutan dari pemerintah, tanggung jawab platform digital, serta kesadaran pengguna dalam menjaga data pribadi di ruang digital.