Instagram, platform media sosial milik Meta Platforms Inc., memberikan klarifikasi mengenai lonjakan email permintaan reset kata sandi yang diterima pengguna secara tidak diminta. Pihak perusahaan menegaskan bahwa insiden tersebut disebabkan oleh celah teknis, bukan pelanggaran sistem atau peretasan data, dan menjamin keamanan akun pengguna tetap terjaga.
Klarifikasi ini muncul setelah ribuan pengguna di seluruh dunia melaporkan menerima notifikasi reset kata sandi dari alamat email resmi Instagram, tanpa pernah mengajukannya. Kejadian ini sempat memicu kekhawatiran luas akan potensi peretasan dan pelanggaran keamanan data berskala besar. Instagram bergerak cepat menyatakan bahwa masalah tersebut kini telah teratasi.
Melalui pernyataan resminya di platform X (sebelumnya Twitter) pada Minggu, 11 Januari 2026, Instagram menyatakan, “Kami telah memperbaiki masalah yang memungkinkan pihak eksternal meminta email reset kata sandi untuk beberapa orang. Tidak ada pelanggaran sistem kami dan akun Instagram Anda aman. Anda bisa mengabaikan email tersebut — mohon maaf atas kebingungannya.”
Pernyataan ini bertujuan meredakan kepanikan pengguna yang menerima banyak email reset kata sandi yang sah namun tidak mereka inisiasi.
Menurut Instagram, celah kerentanan yang diperbaiki memungkinkan pihak eksternal memicu email reset kata sandi yang sah. Namun, mereka tidak dapat menyelesaikan proses autentikasi atau mengubah kata sandi, sehingga akses ke akun pengguna tetap tidak mungkin dilakukan.
Penyerang hanya dapat menghasilkan permintaan reset dalam skala besar. Oleh karena itu, pengguna disarankan untuk mengabaikan email reset kata sandi yang tidak diminta selama periode tersebut.
Insiden email reset kata sandi ini beredar bersamaan dengan laporan mengenai kumpulan data besar yang diduga berisi informasi sekitar 17,5 juta akun Instagram yang dijual di forum kejahatan siber.
Perusahaan keamanan siber Malwarebytes melaporkan temuan ini, mengklaim data sensitif seperti nama pengguna, alamat email, nomor telepon, dan lokasi fisik telah dicuri. Spekulasi pun berkembang bahwa kedua insiden ini saling terkait, menimbulkan persepsi pelanggaran data serius.
Namun, Instagram dan Meta secara tegas membantah adanya hubungan antara bug reset kata sandi dan dugaan kebocoran data tersebut. Sejumlah pakar keamanan siber juga menduga kumpulan data yang beredar merupakan kompilasi data lama yang dikumpulkan melalui metode scraping API pada tahun 2022 dan/atau 2024, yang kemudian diunggah ulang atau dijual kembali di forum gelap, bukan hasil dari pelanggaran baru.
Meskipun demikian, munculnya email reset kata sandi yang tidak diminta dan ketersediaan data pengguna di forum gelap meningkatkan risiko serangan phishing dan rekayasa sosial. Penjahat siber dapat memanfaatkan kebingungan pengguna untuk mengirim tautan palsu yang terlihat sah, dengan harapan pengguna akan mengklik dan memberikan kredensial mereka.
Para ahli keamanan siber merekomendasikan pengguna untuk tetap waspada dan mengambil langkah perlindungan tambahan. Mengaktifkan autentikasi dua faktor (2FA) pada akun Instagram sangat disarankan untuk lapisan keamanan ekstra. Selain itu, pengguna diimbau menggunakan kata sandi yang kuat dan unik, serta secara teratur meninjau pengaturan keamanan akun.
Untuk memastikan keaslian email terkait keamanan, pengguna sebaiknya memverifikasi notifikasi langsung melalui aplikasi Instagram atau situs web resmi, bukan dengan mengklik tautan di email yang mencurigakan.
Fitur “Email dari Instagram” di bagian Pengaturan > Keamanan dalam aplikasi dapat membantu pengguna membedakan email resmi dari upaya phishing. Instagram terus memantau dan memperbaiki sistemnya untuk mencegah insiden serupa di masa mendatang.