Pemerintah melalui Kementerian Komunikasi dan Digital terus melakukan pengawasan terhadap Instagram menyusul laporan dugaan kebocoran data yang dikaitkan dengan sekitar 17,5 juta akun pengguna di berbagai negara. Pengawasan ini dilakukan untuk memastikan keamanan data pribadi tetap terjaga serta memastikan penyelenggara platform digital mematuhi ketentuan yang berlaku di Indonesia.
Kasus ini menjadi perhatian publik setelah banyak pengguna Instagram melaporkan menerima e-mail pengaturan ulang kata sandi tanpa pernah mengajukan permintaan sebelumnya. E-mail tersebut tampil dengan format yang menyerupai pemberitahuan resmi Instagram, lengkap dengan logo dan bahasa formal. Kondisi ini memicu kekhawatiran, terutama di kalangan pengguna yang aktif menggunakan Instagram untuk aktivitas pribadi maupun profesional.
Laporan awal mengenai fenomena ini disampaikan oleh perusahaan keamanan siber Malwarebytes. Dalam temuannya, Malwarebytes mencatat adanya lonjakan pengiriman e-mail reset password yang terjadi secara massal pada awal Januari 2026. Berdasarkan analisis awal, jumlah akun yang diduga terdampak mencapai sekitar 17,5 juta akun secara global, termasuk akun milik pengguna di Indonesia.
Menanggapi laporan tersebut, Kementerian Komunikasi dan Digital memanggil Meta sebagai perusahaan induk Instagram. Pemanggilan ini dilakukan untuk meminta klarifikasi resmi serta memastikan tidak terjadi pelanggaran terhadap kewajiban perlindungan data pribadi pengguna.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menjelaskan bahwa pertemuan klarifikasi dengan Meta telah dilakukan pada 14 Januari 2026. Dalam pertemuan tersebut, pemerintah meminta penjelasan rinci terkait mekanisme reset password Instagram, potensi celah keamanan, serta langkah mitigasi yang telah diterapkan.
Menurut Alexander, Meta menjelaskan bahwa fitur reset password Instagram merupakan mekanisme internal resmi yang telah lama digunakan. Sistem ini dirancang agar hanya pemilik akun yang dapat mengatur ulang kata sandi melalui alamat e-mail yang terdaftar. Meta menegaskan bahwa mekanisme tersebut tidak memberikan akses kata sandi kepada pihak lain.
Meta juga menyatakan tidak ditemukan indikasi kebocoran pada sistem inti Instagram. Kata sandi pengguna diklaim tetap aman dan tidak dapat diakses oleh pihak eksternal. Meski demikian, Alexander menegaskan bahwa proses pendalaman oleh pemerintah masih berlangsung untuk memastikan seluruh penjelasan tersebut sesuai dengan hasil evaluasi teknis.
Pemanggilan Meta dilakukan berdasarkan kewenangan yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Aturan ini mewajibkan penyelenggara sistem elektronik untuk menjaga keamanan sistem, melindungi data pribadi pengguna, serta memberikan klarifikasi kepada pemerintah apabila terjadi insiden yang berdampak luas.
Selain kepada pemerintah, Meta juga menyampaikan penjelasan terbuka kepada publik. Pihak Instagram menyatakan tidak terjadi pelanggaran terhadap sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyebut bahwa masalah tersebut telah diperbaiki. Meta memastikan akun pengguna tetap aman dan meminta pengguna untuk mengabaikan e-mail reset password yang tidak pernah diminta. Perusahaan juga menyampaikan permohonan maaf atas kebingungan dan ketidaknyamanan yang dialami pengguna.
Penjelasan Meta tersebut sejalan dengan analisis Malwarebytes. Perusahaan keamanan siber ini menduga insiden tersebut tidak berasal dari peretasan langsung terhadap sistem Instagram. Mereka menilai sumber masalah kemungkinan berkaitan dengan kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024.
Dataset lama yang diduga berasal dari celah API tersebut disebut kembali beredar setelah dipublikasikan ulang oleh pihak tertentu di dark web pada awal Januari 2026. Dataset itu diklaim berisi lebih dari 17 juta data pengguna Instagram dari berbagai negara dalam format dokumen JSON dan TXT.
Contoh data yang dianalisis menunjukkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, serta user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API. Temuan ini memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025. Namun, tidak ditemukan bukti bahwa kata sandi pengguna ikut bocor.
Walaupun sistem inti Instagram diklaim aman, para analis keamanan mengingatkan adanya risiko lanjutan. Lonjakan e-mail reset password palsu dinilai dapat dimanfaatkan pelaku kejahatan siber untuk melakukan serangan phising. Dalam skema ini, pelaku berupaya menipu pengguna agar mengeklik tautan berbahaya atau memasukkan informasi pribadi ke situs palsu.
Phising merupakan metode penipuan digital yang umum terjadi. Pelaku biasanya menyamar sebagai layanan resmi dan mengirim pesan yang tampak meyakinkan. Jika pengguna lengah, data pribadi yang dimasukkan dapat disalahgunakan atau akun media sosial diambil alih.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah terpengaruh oleh informasi yang belum terverifikasi. Pemerintah juga menekankan pentingnya literasi digital dan kewaspadaan dalam menjaga keamanan akun daring, terutama di tengah meningkatnya aktivitas kejahatan siber.
Pengguna Instagram disarankan melakukan beberapa langkah pencegahan. Pertama, mengaktifkan fitur otentikasi dua langkah atau two-factor authentication untuk menambah lapisan keamanan. Kedua, rutin memeriksa perangkat yang pernah masuk ke akun Instagram guna memastikan tidak ada aktivitas mencurigakan. Ketiga, mengabaikan e-mail reset password yang tidak pernah diminta dan tidak mengeklik tautan yang meragukan.
Hingga saat ini, proses pemeriksaan dan klarifikasi antara Kemkomdigi dan Meta masih berlanjut. Pemerintah menyatakan akan menyampaikan hasil evaluasi lanjutan setelah seluruh proses pendalaman selesai dilakukan. Kasus ini menjadi pengingat bahwa perlindungan data digital membutuhkan pengawasan aktif dari pemerintah, tanggung jawab platform digital, serta peran pengguna dalam menjaga keamanan data pribadi di ruang digital.