Kementerian Komunikasi dan Digital meningkatkan pengawasan terhadap penyelenggara sistem elektronik setelah muncul dugaan kebocoran data yang melibatkan 17,5 juta akun Instagram secara global. Kasus ini menjadi perhatian serius pemerintah karena menyangkut keamanan data pribadi pengguna, termasuk jutaan pengguna di Indonesia yang aktif menggunakan platform media sosial tersebut setiap hari.
Perhatian publik bermula dari laporan banyak pengguna Instagram yang menerima e-mail permintaan pengaturan ulang kata sandi tanpa pernah mengajukan permintaan sebelumnya. E-mail tersebut tampak resmi dan menggunakan format yang menyerupai pemberitahuan asli dari Instagram. Situasi ini menimbulkan kekhawatiran akan adanya kebocoran data atau celah keamanan yang dimanfaatkan pihak tidak bertanggung jawab.
Menindaklanjuti laporan tersebut, Kementerian Komunikasi dan Digital memanggil Meta sebagai perusahaan induk Instagram untuk memberikan klarifikasi. Pemerintah menilai pemanggilan ini penting guna memastikan transparansi dan akuntabilitas penyelenggara sistem elektronik dalam melindungi data pengguna.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menjelaskan bahwa klarifikasi dengan Meta telah dilakukan pada 14 Januari 2026. Dalam pertemuan tersebut, Meta diminta menjelaskan asal-usul insiden, mekanisme pengamanan data, serta langkah perbaikan yang telah dilakukan untuk mencegah kejadian serupa terulang.
Menurut Alexander, Meta menegaskan bahwa mekanisme reset password Instagram merupakan sistem internal resmi yang dirancang untuk melindungi akun pengguna. Sistem ini hanya memungkinkan pemilik akun melakukan pengaturan ulang kata sandi dan tidak memberikan akses kata sandi kepada pihak lain.
Meta juga menyatakan tidak ditemukan indikasi adanya kebocoran pada sistem inti Instagram. Kata sandi pengguna diklaim tetap aman dan tidak dapat diakses oleh pihak eksternal. Meski demikian, Alexander menegaskan bahwa proses pendalaman oleh pemerintah masih berlangsung dan belum mencapai kesimpulan akhir.
Pemanggilan dan klarifikasi terhadap Meta, lanjut Alexander, merupakan bagian dari kewenangan Kemkomdigi yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Regulasi tersebut mengatur kewajiban penyelenggara sistem elektronik untuk menjaga keamanan sistem dan melindungi data pribadi pengguna.
Di sisi lain, Meta juga menyampaikan penjelasan terbuka kepada publik. Pihak Instagram menyebut tidak terjadi pelanggaran terhadap sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyatakan masalah tersebut telah diperbaiki. Meta memastikan bahwa akun pengguna tetap aman dan meminta pengguna mengabaikan e-mail reset password yang tidak pernah diminta. Perusahaan juga menyampaikan permohonan maaf atas ketidaknyamanan yang terjadi akibat insiden ini.
Temuan Meta tersebut sejalan dengan analisis perusahaan keamanan siber Malwarebytes. Dalam laporannya, Malwarebytes menduga insiden ini berkaitan dengan kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024. Data lama tersebut diduga kembali beredar setelah dipublikasikan ulang oleh pihak tertentu di dark web pada awal Januari 2026.
Dataset yang beredar diklaim berisi lebih dari 17 juta data pengguna Instagram dari berbagai negara. Data tersebut disebut tersedia dalam format dokumen JSON dan TXT. Contoh data yang dianalisis menunjukkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, serta user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025.
Walaupun tidak ditemukan kebocoran kata sandi, para analis keamanan menilai risiko bagi pengguna tetap ada. Lonjakan e-mail reset password palsu dinilai berpotensi meningkatkan serangan phising. Dalam skema ini, pelaku kejahatan digital memanfaatkan kepanikan pengguna untuk mengelabui korban agar mengklik tautan berbahaya atau memasukkan informasi pribadi ke situs palsu.
Phising merupakan salah satu bentuk penipuan digital yang paling umum. Pelaku biasanya menyamar sebagai organisasi atau layanan resmi dan mengirim pesan yang tampak meyakinkan. Jika pengguna tidak teliti, data pribadi yang dimasukkan dapat digunakan untuk mengambil alih akun atau melakukan penyalahgunaan lainnya.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah terpengaruh oleh informasi yang belum terverifikasi. Pemerintah juga mengingatkan pentingnya literasi digital dan kewaspadaan dalam menggunakan layanan daring, terutama di tengah meningkatnya aktivitas kejahatan siber.
Pengguna Instagram disarankan mengambil langkah pencegahan tambahan untuk melindungi akun mereka. Salah satu langkah utama adalah mengaktifkan fitur otentikasi dua langkah atau two-factor authentication. Fitur ini menambahkan lapisan keamanan ekstra selain kata sandi. Selain itu, pengguna dianjurkan rutin memeriksa perangkat yang pernah masuk ke akun Instagram untuk memastikan tidak ada akses yang mencurigakan.
Pengguna juga diminta tidak mengklik tautan dalam e-mail reset password jika tidak merasa pernah mengajukan permintaan tersebut. Mengabaikan pesan mencurigakan dan selalu memeriksa sumber informasi menjadi langkah sederhana namun efektif untuk menghindari penipuan digital.
Hingga saat ini, proses klarifikasi antara Kemkomdigi dan Meta masih berlanjut. Pemerintah menyatakan akan menyampaikan hasil evaluasi secara terbuka setelah proses pendalaman selesai. Kasus ini sekaligus menjadi pengingat bahwa perlindungan data digital merupakan tanggung jawab bersama antara penyelenggara platform dan pengguna dalam menjaga keamanan ruang digital.
