Akun Aman tapi E-mail Reset Muncul? Ini Penjelasan Instagram

Sejumlah pengguna Instagram belakangan ini dibuat resah setelah menerima e-mail permintaan reset kata sandi (password), padahal mereka merasa tidak pernah mengajukan permintaan tersebut. Fenomena ini tidak hanya dialami oleh satu atau dua orang, tetapi terjadi secara masif di berbagai negara. Setelah ditelusuri lebih lanjut, kemunculan e-mail reset password ini diduga kuat berkaitan dengan kebocoran data Instagram yang berdampak pada sekitar 17,5 juta akun pengguna di seluruh dunia.

Informasi tersebut diungkap oleh perusahaan keamanan siber Malwarebytes melalui akun resmi mereka di platform X (sebelumnya Twitter) dengan nama pengguna @Malwarebytes. Dalam unggahannya, Malwarebytes menyebutkan bahwa jutaan data pengguna Instagram telah bocor, tersebar luas, dan bahkan diperjualbelikan secara bebas di dark web. Temuan ini diperoleh dari hasil pemantauan rutin Malwarebytes terhadap aktivitas perdagangan data ilegal di forum-forum bawah tanah internet.

Menurut Malwarebytes, data yang bocor tidak mencakup kata sandi akun Instagram. Namun demikian, informasi lain yang tergolong sensitif tetap ikut terpapar. Data tersebut antara lain mencakup username Instagram, nama lengkap pengguna, alamat e-mail, nomor telepon, alamat fisik parsial, hingga detail kontak lainnya. Meski tanpa kata sandi, kumpulan data ini tetap berbahaya karena dapat dimanfaatkan untuk berbagai modus kejahatan siber.

Lalu, mengapa pengguna bisa menerima e-mail reset password meski tidak pernah memintanya? Malwarebytes menjelaskan bahwa pelaku kejahatan siber hanya perlu memasukkan alamat e-mail atau username Instagram korban ke halaman login, kemudian memilih opsi “Forgot Password”. Tindakan ini secara otomatis akan memicu sistem Instagram mengirimkan e-mail reset kata sandi ke alamat e-mail pemilik akun. Dalam kasus tertentu, permintaan reset ini bisa dilakukan berulang kali sehingga membuat pengguna panik atau lengah.

Meski demikian, Malwarebytes menegaskan bahwa akun Instagram tidak akan langsung diambil alih selama pengguna tidak mengeklik tautan reset password atau mengganti kata sandi melalui e-mail tersebut. Namun, risiko tidak berhenti sampai di situ. Data yang bocor berpotensi digunakan untuk serangan lanjutan, seperti phishing, pencurian kredensial, hingga impersonation attack, yaitu aksi penipuan dengan menyamar sebagai korban untuk menipu orang lain, termasuk teman dan kerabat.

Malwarebytes menduga bahwa dataset tersebut berasal dari kebocoran API (Application Programming Interface) Instagram yang terjadi pada 2024. Dataset ini kemudian dipublikasikan ulang oleh seorang oknum di dark web pada 7 Januari 2026. Dalam unggahannya, oknum tersebut mengklaim memiliki lebih dari 17 juta data pengguna Instagram dalam format file JSON dan TXT, dengan target pengguna dari berbagai negara. Contoh data yang ditampilkan menunjukkan struktur yang rapi dan konsisten, menyerupai respons API, sehingga memperkuat dugaan adanya celah pada sistem integrasi atau konfigurasi lama Instagram sebelum 2025.

Hingga berita ini ditulis, Meta selaku perusahaan induk Instagram awalnya belum memberikan pernyataan resmi terkait dugaan kebocoran data tersebut. Namun, setelah gelombang e-mail reset password mencurigakan ini ramai diperbincangkan, Instagram akhirnya memberikan klarifikasi. Melalui unggahan resmi di platform X, Instagram menyatakan bahwa mereka telah memperbaiki masalah yang memungkinkan pihak eksternal memicu pengiriman e-mail reset kata sandi ke sebagian pengguna.

“Tidak ada pelanggaran sistem dan akun Anda tetap aman,” tulis Instagram dalam pernyataan singkatnya. Mereka juga menegaskan bahwa pengguna dapat mengabaikan e-mail reset password tersebut apabila merasa tidak pernah mengajukan permintaan.

Meski begitu, insiden ini kembali menjadi pengingat pentingnya meningkatkan keamanan akun digital. Pengguna Instagram sangat disarankan untuk mengaktifkan fitur autentikasi dua faktor atau two-factor authentication (2FA). Dengan fitur ini, setiap upaya login dari perangkat atau lokasi yang tidak dikenali akan memerlukan kode tambahan, sehingga akun menjadi jauh lebih sulit dibobol.

Selain mengaktifkan 2FA, pengguna juga dianjurkan untuk mengganti kata sandi secara berkala melalui aplikasi resmi Instagram, tidak mengeklik tautan mencurigakan dari e-mail, serta rutin memeriksa perangkat dan aplikasi pihak ketiga yang memiliki akses ke akun melalui Accounts Center milik Meta.

Sebagai langkah tambahan, Malwarebytes menyediakan layanan Digital Footprint Scan gratis yang memungkinkan pengguna mengecek apakah alamat e-mail mereka termasuk dalam dataset kebocoran data. Pengguna cukup memasukkan alamat e-mail yang terhubung dengan Instagram, lalu sistem akan memberikan laporan apakah data tersebut pernah muncul dalam kebocoran di internet.

Di tengah meningkatnya ancaman kejahatan siber, kewaspadaan pengguna menjadi kunci utama. Meski Instagram menyatakan akun pengguna tetap aman, langkah pencegahan mandiri tetap diperlukan agar tidak menjadi korban penipuan lanjutan yang memanfaatkan celah kelalaian digital.