Kementerian Komunikasi dan Digital (Kemkomdigi) memanggil Meta menyusul laporan dugaan kebocoran data yang melibatkan hingga 17,5 juta akun Instagram secara global. Pemanggilan ini dilakukan sebagai langkah klarifikasi terhadap Meta selaku penyelenggara sistem elektronik, setelah muncul laporan banyak pengguna menerima e-mail permintaan pengaturan ulang kata sandi yang tidak mereka ajukan.
Kasus ini pertama kali mencuat pada awal Januari 2026. Sejumlah pengguna Instagram di berbagai negara, termasuk Indonesia, melaporkan menerima e-mail reset password secara tiba-tiba. Laporan tersebut kemudian dianalisis oleh perusahaan keamanan siber Malwarebytes, yang menyebut jumlah akun terdampak mencapai sekitar 17,5 juta secara global. Kondisi ini menimbulkan kekhawatiran publik terkait keamanan data pribadi di platform media sosial.
Menanggapi laporan tersebut, Kementerian Komunikasi dan Digital melakukan pertemuan klarifikasi dengan Meta pada 14 Januari 2026. Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, menjelaskan bahwa Meta telah memberikan penjelasan awal terkait mekanisme reset password di Instagram.
Menurut Alexander, Meta menegaskan bahwa fitur pengaturan ulang kata sandi merupakan mekanisme internal resmi yang dirancang untuk melindungi akun pengguna. Mekanisme tersebut, kata Meta, tidak memberikan akses kata sandi kepada pihak mana pun selain pemilik akun. Selain itu, Meta menyatakan tidak ditemukan indikasi adanya penyalahgunaan sistem inti Instagram untuk mengambil data pengguna.
“Tidak ada kata sandi pengguna yang dapat diakses atau diperoleh oleh pihak mana pun selain oleh pemilik akun itu sendiri,” ujar Alexander dalam keterangan resmi Kemkomdigi. Ia menambahkan bahwa proses pendalaman masih berlangsung dan hasil klarifikasi akan menjadi dasar evaluasi lanjutan oleh pemerintah.
Pemanggilan Meta, lanjut Alexander, merupakan bagian dari kewenangan Kemkomdigi yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Aturan ini memberi wewenang kepada pemerintah untuk meminta penjelasan dan melakukan pengawasan terhadap penyelenggara sistem elektronik yang beroperasi di Indonesia.
Sementara itu, Meta juga telah menyampaikan klarifikasi secara terbuka. Dalam pernyataan yang dirilis pada 11 Januari 2026 waktu Amerika Serikat, pihak Instagram menyebut tidak ada pelanggaran pada sistem inti mereka. Meta mengakui adanya masalah dari pihak eksternal yang memungkinkan pengiriman e-mail reset password palsu ke sejumlah pengguna.
“Kami telah memperbaiki masalah pihak luar yang memungkinkan pihak eksternal mengirim permintaan e-mail pengaturan ulang kata sandi,” tulis Instagram. Meta menegaskan bahwa akun pengguna tetap aman dan e-mail tersebut dapat diabaikan. Pernyataan ini sekaligus membantah adanya kebocoran data langsung dari sistem internal Instagram.
Penjelasan Meta sejalan dengan temuan Malwarebytes. Perusahaan keamanan siber tersebut menduga insiden ini berkaitan dengan kebocoran antarmuka pemrograman aplikasi atau API Instagram yang terjadi pada 2024. Dataset yang diduga berasal dari celah tersebut disebut kembali dipublikasikan oleh pihak tidak bertanggung jawab di dark web pada 7 Januari 2026.
Menurut Malwarebytes, data yang beredar menampilkan informasi mentah seperti nama pengguna, alamat e-mail, nomor telepon internasional, dan user ID. Struktur data yang rapi dan konsisten dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025. Meski demikian, tidak ada bukti yang menunjukkan kata sandi pengguna ikut bocor.
Walaupun Meta menegaskan sistem inti aman, para analis keamanan tetap mengingatkan adanya risiko lanjutan, terutama serangan phising. Lonjakan e-mail reset password palsu dapat dimanfaatkan pelaku kejahatan digital untuk menipu pengguna agar mengeklik tautan berbahaya atau memberikan informasi pribadi.
Phising merupakan metode penipuan digital dengan menyamar sebagai pihak resmi melalui e-mail atau pesan daring. Korban biasanya diarahkan ke situs palsu yang menyerupai layanan asli, lalu diminta memasukkan data sensitif. Dalam konteks kasus ini, pelaku dapat terus mengirim permintaan reset password untuk memancing kelengahan pengguna.
Kemkomdigi mengimbau masyarakat agar tetap tenang dan tidak mudah terpengaruh informasi yang belum terverifikasi. Pemerintah juga meminta pengguna untuk meningkatkan kewaspadaan dalam menjaga keamanan akun digital masing-masing, khususnya di media sosial.
Bagi pengguna Instagram, ada beberapa langkah sederhana yang dapat dilakukan untuk memperkuat keamanan akun. Pertama, aktifkan fitur otentikasi dua langkah atau two-factor authentication. Fitur ini menambahkan lapisan keamanan tambahan selain kata sandi. Kedua, lakukan pemeriksaan berkala terhadap daftar perangkat yang pernah masuk ke akun Instagram, guna memastikan tidak ada akses dari pihak tidak dikenal. Ketiga, abaikan e-mail reset password yang tidak pernah diminta dan hindari mengeklik tautan mencurigakan.
Hingga kini, proses klarifikasi antara Kemkomdigi dan Meta masih berlangsung. Pemerintah menyatakan akan menyampaikan hasil evaluasi lanjutan setelah pendalaman selesai dilakukan. Di sisi lain, kasus ini menjadi pengingat bahwa kewaspadaan pengguna tetap menjadi faktor penting, meski platform menyatakan sistemnya aman.
