Gelombang kekhawatiran melanda pengguna Instagram pekan ini, dipicu oleh dua insiden yang tampaknya terkait laporan kebocoran data masif dan serangan email reset password yang tiba-tiba.
Perusahaan keamanan siber Malwarebytes pertama kali membunyikan alarm dengan melaporkan penemuan kumpulan data sensitif sekitar 17,5 juta akun Instagram yang dijual di Dark Web.
Data tersebut diklaim mencakup nama pengguna, alamat email, nomor telepon, hingga alamat fisik bahan baku sempurna untuk serangan Phishing atau pengambilalihan akun (Account Takeover).
Hampir bersamaan, banyak pengguna melaporkan menerima email permintaan reset password dari Instagram, padahal mereka tidak memintanya. Malwarebytes menduga kuat kedua peristiwa ini berkaitan, dan data yang bocor digunakan untuk melancarkan serangan ini, mungkin sebagai upaya menguji validitas data atau langsung mencoba membajak akun.
Menanggapi hal ini, Instagram memberikan respons resmi yang berusaha menenangkan namun terasa paradoks. Di platform X, mereka menyatakan tidak ada pelanggaran terhadap sistemnya dan akun pengguna tetap aman.
Mereka mengakui adanya masalah yang memungkinkan pihak eksternal meminta pengiriman email reset password ke sejumlah orang, dan klaim telah memperbaikinya. Instagram mendesak pengguna untuk mengabaikan email tersebut jika tidak meminta reset.
Pernyataan ini meninggalkan banyak tanda tanya. Jika tidak ada pelanggaran sistem, dari mana data 17,5 juta pengguna itu berasal? Instagram menunjuk pada insiden kerentanan API yang terjadi pada 2024 sebagai sumber potensial kebocoran data lama.
Artinya, data mungkin sudah bocor lama, dan baru sekarang dieksploitasi atau diperdagangkan. Namun, bagi pengguna yang tiba-tiba mendapat email reset, perbedaan antara pelanggaran sistem baru dan eksploitasi data lama terasa seperti perbedaan teknis yang tak menghilangkan rasa tidak aman.
Insiden ini adalah pengingat nyata tentang betapa berharganya data digital kita. Instagram menyarankan langkah-langkah proteksi standar, mengaktifkan autentikasi dua faktor (2FA), mengganti password berkala, dan memeriksa perangkat yang terhubung.
Nasihat yang baik, tetapi juga menggeser sebagian tanggung jawab ke pengguna. Di satu sisi, perusahaan telah merespons dan memperbaiki celah teknis. Di sisi lain, pernyataan tidak ada pelanggaran di tengah maraknya laporan kebocoran data terasa seperti menyangkal realitas yang dirasakan pengguna. Kepercayaan adalah mata uang utama media sosial, dan episode ini, sekali lagi, mengikisnya sedikit demi sedikit.