Peneliti Ungkap Bukti Kebocoran Foto dari Profil Instagram Privat

Seorang peneliti keamanan mengungkap temuan serius terkait kebocoran konten dari akun Instagram yang disetel privat, di mana tautan foto milik pengguna dapat diakses oleh pengunjung tanpa autentikasi. Temuan ini memicu kekhawatiran mengenai efektivitas kontrol privasi di platform media sosial milik Meta tersebut.

Fitur akun privat di Instagram dirancang untuk membatasi akses foto, video, story, dan reels hanya kepada pengikut yang disetujui. Namun, menurut penelitian terbaru, dalam kondisi tertentu konten privat justru ikut termuat di respons server yang dapat diakses publik.

Bukti Teknis Kebocoran Konten

Penelitian ini dipublikasikan oleh peneliti keamanan Jatin Banga, yang menunjukkan bahwa sebagian profil privat mengembalikan tautan CDN ke foto privat beserta caption-nya di dalam body HTML, meski halaman menampilkan pesan standar “This account is private. Follow to see their photos and videos.”

Banga menemukan bahwa pada profil tertentu, objek JSON bernama polaris_timeline_connection yang disertakan dalam respons HTML berisi data terenkode berupa tautan foto privat. Kebocoran ini hanya muncul ketika profil diakses tanpa login dari perangkat mobile dengan User-Agent dan header tertentu, sehingga sulit terdeteksi oleh pengujian biasa.

Dalam pengujian terbatas menggunakan akun privat uji miliknya sendiri atau akun yang memberinya izin eksplisit, Banga melaporkan sekitar 28% akun yang diuji mengembalikan caption dan tautan ke foto privat—sebuah indikasi kegagalan otorisasi sisi server.

Respons Meta dan Status Perbaikan

Menurut Banga, temuan ini telah dilaporkan ke Meta sejak 12 Oktober 2025. Meta awalnya mengklasifikasikan masalah sebagai isu CDN caching, namun peneliti menolak penilaian tersebut dan menyebutnya sebagai kegagalan pemeriksaan otorisasi sebelum data dimasukkan ke respons.

Setelah korespondensi lanjutan dan laporan kedua, celah tersebut berhenti dapat dieksploitasi sekitar 16 Oktober, mengindikasikan adanya perbaikan. Namun, Meta kemudian menutup laporan sebagai “not applicable” dengan alasan tidak dapat direproduksi, tanpa memberikan analisis akar masalah yang komprehensif.

Banga menekankan bahwa ia mengikuti praktik coordinated disclosure dengan memberi waktu lebih dari 90 hari. Ia juga menjelaskan mengapa bukti tidak diarsipkan melalui layanan pengarsipan publik: crawler tidak mengirimkan header mobile spesifik yang diperlukan untuk memicu kebocoran.

Implikasi Privasi

Temuan ini menyoroti risiko privasi yang signifikan. Jika respons server memuat data privat meski UI menampilkan pesan pembatasan, maka konten dapat diekstrak oleh pihak yang memahami tekniknya, terlepas dari status privat akun. Tanpa konfirmasi resmi dari Meta mengenai akar masalah dan cakupan dampak, tidak diketahui berapa lama celah ini aktif atau apakah sempat dieksploitasi secara luas.

Hingga publikasi ini, Meta belum memberikan pernyataan resmi meski telah dihubungi berulang kali. Kasus ini menjadi pengingat pentingnya audit otorisasi sisi server dan transparansi penanganan insiden privasi pada platform berskala besar.