Kekhawatiran global mengenai privasi pengguna media sosial kembali memuncak minggu ini. Sebuah laporan dari perusahaan keamanan siber Malwarebytes mengungkap adanya insiden keamanan signifikan yang mengekspos sekitar 17,5 juta akun pengguna Instagram.

Basis data yang berisi informasi sensitif tersebut dilaporkan sedang diperjualbelikan secara aktif di pasar Dark Web. Insiden ini menciptakan kebingungan di kalangan pengguna, terutama karena terjadi bersamaan dengan gelombang notifikasi "reset password" misterius yang diterima banyak pengguna, yang memicu spekulasi adanya upaya pembajakan akun massal.

Berdasarkan penelusuran, data tersebut dijual oleh aktor ancaman dengan nama samaran "Subkek". Penjual mengklaim bahwa data ini adalah hasil panen baru (freshly scraped) yang dikumpulkan selama tiga bulan terakhir tahun 2024 melalui API publik dan sumber spesifik negara.

• Jenis Data Terekspos: Informasi yang bocor meliputi nama pengguna (usernames), alamat email lengkap, nomor telepon, dan lokasi fisik parsial.
• Risiko Nyata: Kombinasi data ini adalah amunisi emas bagi kejahatan Social Engineering. Dengan email dan nomor telepon yang valid, penjahat siber dapat melancarkan kampanye phishing yang sangat meyakinkan, menyamar sebagai Meta atau Instagram untuk menipu pengguna agar menyerahkan kredensial mereka.

Menanggapi kepanikan publik terkait notifikasi reset kata sandi, Instagram merilis pernyataan resmi melalui X (sebelumnya Twitter). Perusahaan menegaskan bahwa tidak ada peretasan keamanan (security breach) pada sistem internal mereka.

• Penjelasan Teknis: Instagram mengakui adanya "masalah teknis" yang memungkinkan pihak eksternal memicu permintaan reset kata sandi ke akun pengguna secara massal. Namun, mereka menjamin sistem inti tetap utuh dan data pengguna tidak dikompromikan dari dalam.
• Disparitas Fakta: Pernyataan ini menciptakan area abu-abu. Meskipun Instagram menyangkal sistemnya dibobol (hacked), fakta bahwa 17,5 juta data pengguna tersedia di Dark Web menunjukkan bahwa metode Scraping (pengerukan data publik secara otomatis) tetap menjadi ancaman valid yang berhasil mengeksploitasi celah pada antarmuka publik atau API mereka.

Baca juga: Transformasi Keamanan Siber: Dari Isu Teknis Menjadi Agenda Wajib "C-Suite" di 2026

Kasus Instagram ini menyoroti perbedaan krusial antara "peretasan sistem" dan "pengerukan data" (data scraping). Sering kali, perusahaan merasa aman karena database inti mereka tidak ditembus, namun mereka lupa bahwa API publik yang tidak diamankan dengan baik dapat menjadi pintu terbuka bagi pencurian data massal. Bagi pengguna akhir, dampaknya sama saja: privasi mereka terekspos. Fenomena ini menegaskan bahwa keamanan bukan hanya tentang mempertebal dinding firewall, tetapi juga tentang mengatur laju lalu lintas data yang keluar melalui fitur yang sah.

Lebih jauh, interaksi intensif kami dengan para pemangku kebijakan keamanan perusahaan menegaskan urgensi untuk memvalidasi keamanan mitra dan arsitektur aplikasi secara menyeluruh. Jika data Anda bocor—baik karena di-hack maupun di-scrape—reputasi Anda lah yang runtuh. Oleh karena itu, strategi keamanan harus mencakup pengujian ketahanan terhadap validasi mekanisme otentikasi. Memastikan bahwa fitur "lupa password" atau pencarian pengguna tidak dapat disalahgunakan untuk enumerasi data massal adalah langkah preventif standar yang wajib divalidasi dalam setiap siklus pengembangan perangkat lunak aman (Secure Software Development).