Instagram Bantah Kebocoran Data di Tengah Klaim Bocornya 17 Juta Akun
Platform media sosial Instagram membantah adanya kebocoran data sistem setelah muncul klaim bahwa informasi dari lebih dari 17 juta akun pengguna beredar secara daring. Klarifikasi ini disampaikan menyusul laporan yang menyebutkan adanya dataset besar berisi data profil Instagram yang dibagikan di sejumlah forum peretasan.
Dalam pernyataan resminya, juru bicara Meta menjelaskan bahwa pihaknya telah memperbaiki sebuah bug yang memungkinkan pihak eksternal mengirim permintaan password reset secara massal ke sejumlah akun Instagram. Meski demikian, Meta menegaskan bahwa insiden tersebut bukanlah kebocoran data dan tidak ada kompromi terhadap sistem maupun akun pengguna.
Meta juga meminta pengguna mengabaikan email pengaturan ulang kata sandi yang tidak mereka minta, seraya menyampaikan permohonan maaf atas kebingungan yang ditimbulkan. Perusahaan menegaskan bahwa keamanan akun Instagram tetap terjaga.
Klaim kebocoran ini mencuat setelah perusahaan keamanan siber Malwarebytes memperingatkan penggunanya mengenai dugaan pencurian data dari sekitar 17,5 juta akun Instagram. Dataset tersebut dilaporkan dibagikan secara gratis di berbagai forum, dengan klaim bahwa data dikumpulkan melalui kebocoran API Instagram yang belum terkonfirmasi pada 2024.
Data yang beredar diklaim mencakup 17.017.213 profil akun Instagram, dengan variasi informasi seperti nama pengguna, alamat email, nomor telepon, alamat fisik, nama lengkap, serta ID Instagram. Namun, tidak semua entri memuat informasi lengkap; sebagian hanya berisi ID dan nama pengguna.
Analisis terhadap dataset menunjukkan adanya jutaan nilai unik, termasuk lebih dari 16,5 juta nama pengguna dan lebih dari 6,2 juta alamat email. Meski demikian, para peneliti keamanan mencatat bahwa tidak ada kata sandi yang tercantum dalam data tersebut.
Sejumlah peneliti keamanan di media sosial menyebut bahwa data tersebut kemungkinan berasal dari insiden API scraping lama, termasuk dugaan kejadian pada 2022. Namun, hingga kini tidak ada bukti kuat yang mendukung klaim tersebut. Meta sendiri menyatakan tidak mengetahui adanya insiden kebocoran API pada 2022 maupun 2024.
Instagram memang memiliki riwayat masalah serupa di masa lalu. Pada 2017, sebuah celah API pernah dimanfaatkan untuk mengumpulkan dan menjual data pribadi jutaan akun. Meski demikian, belum dapat dipastikan apakah dataset terbaru ini merupakan gabungan dari kebocoran lama dan informasi tambahan yang dikumpulkan dalam beberapa tahun terakhir.
Hingga saat ini, tidak ditemukan bukti bahwa klaim tersebut merepresentasikan kebocoran data baru. Indikasi yang ada justru mengarah pada kompilasi data lama yang dikumpulkan dari berbagai sumber dalam kurun waktu panjang. Kabar baiknya, karena tidak ada kata sandi yang bocor, pengguna tidak perlu mengganti kata sandi akun mereka.
Meski demikian, pengguna tetap diimbau waspada terhadap potensi serangan lanjutan seperti phishing, smishing, dan rekayasa sosial yang memanfaatkan data pribadi yang telah beredar. Pengguna juga disarankan untuk mengaktifkan autentikasi dua faktor guna meningkatkan keamanan akun.
