Media90 – Belakangan ini, sejumlah pengguna Instagram dibuat panik karena tiba-tiba menerima e-mail permintaan reset password, padahal mereka sama sekali tidak pernah mengajukannya. Fenomena ini ternyata lebih serius dari sekadar kesalahan teknis. Berdasarkan temuan perusahaan keamanan siber Malwarebytes, sekitar 17,5 juta akun Instagram di seluruh dunia diduga terdampak kebocoran data.
Lantas, apa sebenarnya yang terjadi? Apakah akun Instagram benar-benar sedang diretas? Berikut penjelasan lengkapnya.
Kenapa Instagram Mengirim E-mail Reset Password Tanpa Diminta?
Kasus e-mail reset password misterius ini berkaitan dengan kebocoran data Instagram (data breach) yang baru-baru ini terungkap. Malwarebytes menyebut bahwa jutaan data pengguna bocor dan diperjualbelikan di dark web.
Menariknya, password akun tidak ikut bocor, tetapi data lain yang cukup sensitif berhasil diakses pihak tidak bertanggung jawab. Hal ini membuat akun bisa menjadi target percobaan penipuan atau serangan siber lain.
Data Apa Saja yang Bocor?
Menurut Malwarebytes, data yang tersebar meliputi:
-
Username Instagram
-
Nama lengkap pengguna
-
Alamat e-mail
-
Nomor telepon
-
Alamat fisik (parsial)
-
Detail kontak lainnya
Dengan data tersebut, pelaku cukup memasukkan username atau e-mail korban ke halaman login Instagram, lalu menekan opsi “Forgot Password”. Akibatnya, sistem Instagram otomatis mengirimkan e-mail reset password ke pemilik akun asli.
Apakah Akun Bisa Langsung Dibobol?
Tidak. Selama pengguna tidak mengklik tombol reset password di dalam e-mail tersebut, kata sandi akun tidak akan berubah.
Namun, Malwarebytes mengingatkan bahwa kebocoran data tetap berbahaya karena bisa dimanfaatkan untuk:
-
Impersonation attack (menyamar sebagai korban)
-
Phishing atau penipuan berkedok verifikasi akun
-
Upaya pencurian kredensial melalui tautan palsu
Diduga Bocor dari API Lama Instagram
Malwarebytes menduga dataset ini berasal dari kebocoran API Instagram lama yang terjadi pada 2024. Data kemudian dipublikasikan ulang oleh pihak anonim di dark web pada 7 Januari 2026, mencakup lebih dari 17 juta data pengguna dari berbagai negara.
Dataset tersimpan dalam format JSON dan TXT dengan struktur rapi, memperkuat dugaan bahwa informasi tersebut berasal dari celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025.
Cara Aman Jika Menerima E-mail Reset Password
Jika menerima e-mail reset password tanpa memintanya, lakukan langkah berikut:
-
Jangan klik tombol “Reset Password” di e-mail.
-
Gunakan opsi “Laporkan” jika tersedia di e-mail Instagram.
-
Ganti kata sandi secara manual langsung dari aplikasi Instagram.
-
Aktifkan verifikasi dua langkah (2FA) untuk keamanan tambahan.
Aktifkan 2FA Agar Akun Lebih Aman
Autentikasi dua faktor (2FA) membuat akun jauh lebih aman. Setiap percobaan login dari perangkat asing akan memerlukan kode tambahan, sehingga hacker tidak bisa masuk meski memiliki data pribadi pengguna. Meskipun opsional, fitur ini sangat disarankan.
Cara Cek Apakah E-mail Termasuk Data Bocor
Malwarebytes menyediakan layanan Digital Footprint Scan gratis. Pengguna bisa mengecek apakah alamat e-mail mereka pernah masuk dalam dataset kebocoran data di internet:
-
Masukkan alamat e-mail yang terhubung ke Instagram.
-
Sistem akan menampilkan laporan apakah data tersebut pernah bocor atau tidak.
Kesimpulan
E-mail reset password Instagram yang muncul tanpa diminta bukan berarti akun langsung diretas, tetapi menjadi tanda bahwa data pengguna berpotensi disalahgunakan. Selama tidak mengklik tautan reset dan sudah mengaktifkan 2FA, akun relatif aman.
Tetap waspada, jangan sembarangan klik e-mail, rutin ganti password, dan pastikan fitur keamanan akun selalu aktif agar tetap terlindungi.
