Kementerian Komunikasi dan Digital memanggil Meta setelah muncul laporan dugaan kebocoran data yang dikaitkan dengan 17,5 juta akun Instagram di berbagai negara. Langkah ini diambil menyusul kekhawatiran publik akibat maraknya e-mail pengaturan ulang kata sandi yang diterima pengguna tanpa permintaan sebelumnya, termasuk oleh pengguna di Indonesia.
Pemanggilan tersebut dilakukan sebagai bagian dari fungsi pengawasan pemerintah terhadap penyelenggara sistem elektronik. Dalam kasus ini, Meta dimintai klarifikasi karena berperan sebagai perusahaan induk Instagram, Facebook, dan WhatsApp yang beroperasi di Indonesia.
Menurut keterangan resmi, laporan awal berasal dari temuan perusahaan keamanan siber Malwarebytes. Mereka mencatat adanya lonjakan e-mail reset password Instagram yang dikirim ke pengguna secara massal pada awal Januari 2026. E-mail tersebut terlihat resmi, namun dikirim tanpa permintaan dari pemilik akun. Dari hasil penelusuran awal, jumlah akun yang terdampak diperkirakan mencapai 17,5 juta secara global.
Menindaklanjuti temuan itu, Kementerian Komunikasi dan Digital melakukan pertemuan klarifikasi dengan Meta pada 14 Januari 2026. Pertemuan ini bertujuan memastikan apakah terdapat kebocoran data dari sistem Instagram serta menilai potensi risiko bagi pengguna di Indonesia.
Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menjelaskan bahwa Meta menyatakan mekanisme reset password yang digunakan Instagram merupakan sistem resmi dan bersifat internal. Mekanisme tersebut, menurut Meta, tidak membuka akses kata sandi pengguna kepada pihak mana pun.
Alexander menegaskan, berdasarkan penjelasan awal Meta, tidak ditemukan indikasi bahwa kata sandi pengguna bocor atau diambil oleh pihak eksternal. Ia juga menyebut bahwa hingga saat ini tidak ada bukti penyalahgunaan fitur reset password untuk pencurian data sensitif pengguna.
“Tidak ada password pengguna yang dapat diakses atau diperoleh oleh pihak lain selain pemilik akun itu sendiri,” kata Alexander dalam keterangan tertulis Kemkomdigi. Meski demikian, ia menambahkan bahwa proses pendalaman masih berlangsung dan hasilnya akan menjadi dasar evaluasi lanjutan oleh pemerintah.
Pemanggilan Meta, lanjut Alexander, merupakan kewenangan Kemkomdigi sebagaimana diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Aturan tersebut memberi mandat kepada pemerintah untuk memastikan keamanan sistem elektronik dan perlindungan data pengguna.
Di sisi lain, Meta juga memberikan penjelasan kepada publik. Dalam pernyataan yang dirilis pada 11 Januari 2026 waktu Amerika Serikat, pihak Instagram menyebut tidak ada pelanggaran pada sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
Instagram menyatakan masalah tersebut telah diperbaiki. Meta menegaskan bahwa akun pengguna tetap aman dan e-mail reset password yang tidak diminta dapat diabaikan. Perusahaan juga menyampaikan permohonan maaf atas ketidaknyamanan yang terjadi.
Penjelasan Meta sejalan dengan analisis Malwarebytes. Perusahaan keamanan siber itu menduga insiden ini berkaitan dengan kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024. Dataset yang diduga berasal dari celah tersebut disebut kembali beredar di dark web pada 7 Januari 2026.
Dataset yang diklaim berisi lebih dari 17 juta data pengguna itu dilaporkan tersedia dalam format dokumen JSON dan TXT. Contoh data yang dianalisis menunjukkan informasi mentah seperti username, alamat e-mail, nomor telepon internasional, serta user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025.
Walaupun tidak ditemukan kebocoran kata sandi, para analis keamanan mengingatkan adanya risiko lanjutan berupa serangan phising. Maraknya e-mail reset password palsu dapat dimanfaatkan pelaku kejahatan digital untuk menipu pengguna agar mengklik tautan berbahaya atau memberikan informasi pribadi.
Phising merupakan modus penipuan digital yang dilakukan dengan menyamar sebagai lembaga atau layanan resmi. Korban biasanya diarahkan ke situs palsu yang tampak meyakinkan, lalu diminta memasukkan data sensitif. Dalam konteks kasus ini, pelaku dapat terus mengirim permintaan reset password untuk memancing kelengahan pengguna.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah percaya pada informasi yang belum terverifikasi. Pemerintah juga mengingatkan pentingnya menjaga keamanan akun digital, terutama di tengah meningkatnya aktivitas kejahatan siber.
Pengguna Instagram disarankan mengambil langkah pencegahan tambahan. Salah satunya dengan mengaktifkan fitur otentikasi dua langkah atau two-factor authentication. Fitur ini menambah lapisan keamanan di luar kata sandi. Selain itu, pengguna dianjurkan rutin memeriksa daftar perangkat yang terhubung ke akun Instagram untuk memastikan tidak ada akses mencurigakan.
Pengguna juga diminta tidak mengklik tautan dalam e-mail reset password jika tidak merasa pernah mengajukan permintaan tersebut. Langkah sederhana ini dinilai efektif untuk menghindari jebakan phising.
Hingga kini, proses klarifikasi antara Kemkomdigi dan Meta masih berlanjut. Pemerintah menyatakan akan menyampaikan hasil evaluasi setelah pendalaman selesai dilakukan. Kasus ini menjadi pengingat bahwa keamanan digital tidak hanya bergantung pada sistem platform, tetapi juga pada kewaspadaan setiap pengguna dalam menjaga akun pribadinya.
