San Fransisco, AS – Instagram tengah diguncang isu kebocoran data besar-besaran yang melibatkan informasi sensitif dari sekitar 17,5 juta pengguna di seluruh dunia.
Data yang bocor tersebut dilaporkan mencakup nama pengguna (username), alamat email, nomor telepon, hingga alamat fisik pemilik akun.
Krisis keamanan ini mulai terendus sejak 8 Januari lalu, saat ribuan pengguna melaporkan adanya aktivitas mencurigakan pada akun mereka.
Banyak pengguna menerima email pengaturan ulang kata sandi (password reset) yang tidak pernah mereka minta sebelumnya.
Gelombang Email Misterius Sejak 8 Januari
Laporan dari berbagai penjuru dunia menunjukkan bahwa pengguna menerima email resmi dari domain Instagram dengan format dan branding yang tampak sangat meyakinkan.
Namun, keanehan muncul saat pengguna memeriksa riwayat keamanan di dalam aplikasi.
Tidak ada catatan mengenai permintaan email tersebut di sistem internal aplikasi.
Bahkan, beberapa pengguna tetap menerima email serupa meski telah mengubah kata sandi mereka secara manual untuk mengamankan akun.
Data dari Firma keamanan siber, Malwarebytes, menyatakan bahwa pola serangan ini mengarah pada tindakan jahat yang disengaja.
Para pelaku diduga menggunakan data yang telah mereka kuasai untuk memicu permintaan reset kata sandi massal guna memvalidasi akun mana yang masih aktif.
Sementara itu berdasarkan laporan CyberInsider, data jutaan pengguna ini dikabarkan sudah diperjualbelikan di dark web. Berikut adalah beberapa poin terkait dugaan peretasan ini:
- Penyebab Utama: Diduga berasal dari celah keamanan API (Application Programming Interface) yang tidak ditambal sejak tahun 2024.
- Data yang Dieksploitasi: Nama pengguna, email, nomor telepon, dan lokasi fisik.
- Metode Serangan: Pengiriman email reset password massal untuk menguji akses akun.
- Skala Dampak: Diperkirakan mencapai 17,5 juta akun secara global.
Respons Meta: Hanya Masalah Bug
Di sisi lain, pihak Meta selaku induk perusahaan Instagram membantah adanya kebocoran data pada sistem mereka.
Juru bicara Meta menyatakan bahwa akun-akun pengguna tetap aman dan tidak ada bukti akses ilegal ke peladen (server) mereka.
Melansir laporan dari Daily Mail, Meta menjelaskan bahwa insiden tersebut disebabkan oleh sebuah bug yang memungkinkan pihak eksternal memicu pengiriman email pengaturan ulang kata sandi.
Pihak perusahaan mengklaim bahwa masalah teknis tersebut saat ini telah diperbaiki.
Meski ada bantahan dari Meta, para ahli keamanan siber tetap mengimbau masyarakat untuk waspada.
Pengguna disarankan untuk tidak mengeklik tautan apa pun yang ada di dalam email reset password yang tidak diminta secara mandiri.
Langkah mitigasi yang sangat dianjurkan saat ini adalah melakukan perubahan kata sandi langsung melalui aplikasi resmi. Selain itu,
mengaktifkan Autentikasi Dua Faktor (2FA) menjadi kewajiban untuk memberikan lapisan perlindungan tambahan pada akun dari akses yang tidak sah.(YA)
