Platform media sosial Instagram, yang berada di bawah naungan Meta Platforms Inc., telah mengklarifikasi bahwa gelombang email permintaan reset kata sandi yang tidak diminta oleh pengguna baru-baru ini disebabkan oleh adanya celah teknis, bukan karena pelanggaran sistem atau peretasan data.

Pihak perusahaan menegaskan bahwa akun pengguna tetap aman dan tidak ada akses tidak sah yang terjadi.

Klarifikasi ini muncul menyusul laporan ribuan pengguna global yang menerima notifikasi reset kata sandi dari alamat email resmi Instagram, meskipun mereka tidak mengajukan permintaan tersebut.

Baca Juga: Instagram Tegaskan Akun Aman di Tengah Isu Reset Password Massal dan Dugaan Bocornya Data Pengguna

Insiden ini memicu kekhawatiran luas mengenai potensi upaya peretasan akun dan pelanggaran keamanan berskala besar. Instagram telah mengambil langkah cepat dengan menyatakan bahwa masalah tersebut telah diperbaiki.

Dalam pernyataan resminya di platform X (sebelumnya Twitter) pada Minggu, 11 Januari 2026, Instagram mengatakan,

“Kami telah memperbaiki masalah yang memungkinkan pihak eksternal meminta email reset kata sandi untuk beberapa orang. Tidak ada pelanggaran sistem kami dan akun Instagram Anda aman. Anda bisa mengabaikan email tersebut — mohon maaf atas kebingungannya.”

Pernyataan tersebut bertujuan untuk menenangkan kekhawatiran pengguna yang panik setelah menerima banyak email reset kata sandi yang sah, namun tidak mereka inisiasi.

Menurut Instagram, celah kerentanan yang telah diperbaiki tersebut memungkinkan pihak eksternal untuk memicu email reset kata sandi yang sah tanpa benar-benar dapat mengubah kata sandi atau mendapatkan akses ke akun pengguna.

Dengan kata lain, penyerang dapat menghasilkan permintaan reset dalam skala besar, tetapi tidak dapat menyelesaikan alur autentikasi atau mengambil alih akun pengguna. Oleh karena itu, Instagram menasihati para pengguna untuk mengabaikan email reset kata sandi yang tidak diminta selama periode tersebut.

Insiden email reset kata sandi ini bersamaan dengan beredarnya laporan tentang kumpulan data besar yang diduga berisi informasi sekitar 17,5 juta akun Instagram yang dijual di forum kejahatan siber.

Perusahaan keamanan siber Malwarebytes adalah salah satu yang pertama kali melaporkan temuan ini, mengklaim bahwa data sensitif termasuk nama pengguna, alamat email, nomor telepon, dan lokasi fisik telah dicuri. Spekulasi pun berkembang bahwa kedua insiden ini saling terkait, menimbulkan persepsi bahwa Instagram mengalami pelanggaran data serius.

Namun, Instagram dan Meta secara tegas membantah adanya hubungan antara bug reset kata sandi dan dugaan kebocoran data tersebut.

Beberapa pakar keamanan siber juga menunjukkan bahwa kumpulan data yang beredar kemungkinan besar bukan hasil dari pelanggaran baru, melainkan kompilasi data lama yang dikumpulkan melalui metode scraping API pada tahun 2022 dan/atau 2024, yang kemudian diunggah ulang atau dijual kembali di forum gelap.

Meskipun demikian, munculnya email reset kata sandi yang tidak diminta ini, ditambah dengan ketersediaan data pengguna di forum gelap, meningkatkan risiko serangan phishing dan rekayasa sosial.

Penjahat siber dapat memanfaatkan kebingungan dan kekhawatiran pengguna untuk mengirim tautan palsu yang terlihat sah, berharap pengguna akan mengklik dan secara tidak sengaja memberikan kredensial mereka.

Para ahli keamanan siber merekomendasikan pengguna untuk tetap waspada dan mengambil langkah-langkah perlindungan tambahan. Pengguna disarankan untuk selalu mengaktifkan autentikasi dua faktor (2FA) pada akun Instagram mereka untuk lapisan keamanan ekstra. Selain itu, disarankan untuk menggunakan kata sandi yang kuat dan unik, serta secara teratur meninjau pengaturan keamanan akun.

Untuk memastikan keaslian email terkait keamanan, pengguna sebaiknya memverifikasi notifikasi langsung melalui aplikasi Instagram atau situs web resmi, bukan dengan mengklik tautan di email yang mencurigakan.

Fitur “Email dari Instagram” di bagian Pengaturan > Keamanan dalam aplikasi dapat membantu pengguna membedakan email resmi dari upaya phishing. Instagram terus memantau dan memperbaiki sistemnya untuk mencegah insiden serupa terjadi di masa mendatang.