DB KLIK – Pernahkah kamu tiba-tiba menerima email dari Instagram yang berisi tautan untuk mengatur ulang kata sandi atau reset password, padahal kamu tidak merasa memintanya? Jika ya, jangan dianggap remeh.

Laporan terbaru menunjukkan bahwa gelombang serangan siber sedang melanda pengguna Instagram secara global. Tidak tanggung-tanggung, diperkirakan hingga 17 juta akun telah menjadi target skema ini.

Hal ini disampaikan perusahaan keamanan siber, Malwarebytes melalui akun resmi X (dahulu Twitter) dengan handle @Malwarebytes. Dalam sebuah unggahan, mereka menyebut belasan juta data pengguna Instagram di atas bocor dan tersebar dan dijual bebas di dark web.

Adapun data yang bocor mencakup berbagai informasi sensitif pengguna selain password, namun meliputi:

• Nama lengkap pengguna

• Alamat email

• Nomor telepon

• Alamat fisik parsial

• Detail kontak lainnya

Baca juga : Bukan Sekedar Nonton! Google Bawa Gemini ke Google TV, Cek Fitur Unggulannya di CES 2026

Nah, karena tidak ada password-nya, peretas (hacker) yang memiliki data-data pengguna Instagram yang bocor tadi hanya memasukkan alamat e-mail atau username Instagram saja ke dalam laman masuk (login).

Hal ini lantas bisa memicu Instagram mengirimkan e-mail permintaan reset kata sandi, yang sebenarnya diminta oleh hacker, boleh jadi via tombol "Forgot Password".

Meski tidak ada kata sandinya dan hacker terus-menerus meminta reset password, Malwarebytes mengatakan data di atas berpotensi dimanfaatkan pelaku kejahatan siber untuk berbagai aksi penipuan.

Di antaranya seperti impersonation attack atau serangan manipulasi di mana hacker berpura-pura jadi korban untuk menipu rekan atau kerabat mereka, kampanye phishing, hingga upaya pencurian kredensial akun.

Diduga berasal dari kebocoran API lama

Malwarebytes menambahkan, data tersebut diduga berasal dari kebocoran API (sistem penghubung antar platform) Instagram yang terjadi pada 2024. Dataset ini kemudian dipublikasikan ulang oleh seorang oknum di dark web pada 7 Januari 2026. 

Dalam unggahannya, oknum ini mengklaim dataset berisi lebih dari 17 juta data pengguna Instagram dalam format dokumen "JSON" dan "TXT", dengan target pengguna di berbagai negara.

Ilustrasi permintaan reset password Instagram yang diminta oleh peretas.(Forbes)

Contoh data yang ditampilkan, menurut Malwarebytes, memang memperlihatkan informasi mentah (raw) Instagram, seperti username, alamat email, nomor telepon internasional, hingga user ID.

Begini Definisi dan Cara Kerjanya

Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025.

Meta belum beri pernyataan

Melansir dari Kompas, Senin (12/1/2026), Meta, perusahaan induk Instagram, belum memberikan konfirmasi resmi terkait dugaan kebocoran data tersebut.

Tidak ada pernyataan publik maupun klarifikasi di halaman keamanan atau akun media sosial resmi Meta. Namun yang jelas, pengguna yang mendapatkan e-mail reset password di atas agaknya tak perlu khawatir.

Sebab, kata sandi Instagram mereka tidak akan berubah jika mereka tak menekan tombol "Reset password" yang ada dalam e-mail tersebut. Pengguna juga disediakan opsi untuk melaporkan jika tidak merasa meminta reset.

Gunakan 2FA

Selain itu, serangan seperti ini juga dinilai akan sulit berhasil apabila pengguna telah mengaktifkan autentikasi dua faktor (two-factor authentication/2FA).

Pasalnya, sistem akan meminta kode tambahan saat ada upaya login dari perangkat yang tidak dikenali, guna memastikan bahwa pengguna benar-benar masuk ke akun Instagram miliknya sendiri.

Baca juga : Viral Curhatan Korban Scam Komponen PC: Beli RAM High-End, yang Datang Malah Zonk

Akan tetapi, fitur 2FA ini masih bersifat opsional dan bisa diaktifkan secara manual dengan cara mengikuti langkah-langkah di tautan berikut ini.

Di samping mengaktifkan 2FA, pengguna juga dianjurkan agar tak mengeklik tombol reset password, mengganti kata sandi secara manual lewat aplikasi Instagram, serta tetap waspada terhadap e-mail atau pesan yang meminta verifikasi akun.

Terkait kebocoran data Instagram di atas, Malwarebytes menyediakan layanan Digital Footprint Scan gratis.

Website ini memungkinkan pengguna mengecek apakah alamat email mereka termasuk dalam dataset kebocoran data tersebut atau tidak.

Cara pakainya adalah pengguna cukup memasukkan alamat e-mail Instagram mereka dan nantinya Malwarebytes akan melacak dan memberikan laporan apakah alamat e-mail tersebut pernah masuk ke dalam data yang bocor di internet atau tidak.

KESIMPULAN

Keamanan digital dimulai dari ketenangan. Jika menerima notifikasi mencurigakan, selalu verifikasi melalui aplikasi resmi sebelum mengambil tindakan. Jangan biarkan akun kamu menjadi bagian dari angka 17 juta berikutnya. 

DB Klik - Toko Komputer Surabaya yang terpercaya di Indonesia. Menjual berbagai macam kebutuhan elektronik yang lengkap seperti laptop, gadget, gaming, lifestyle, dan aksesoris. Belanja kebutuhan elektronik yang lengkap dan hemat langsung melalui Website DB Klik, Dijamin Berkualitas.