Beranda / berita / keamanan / keamanan informasi / Keamanan Internet / privasi internet

Pengguna Instagram di RI Dapat Notifikasi Perubahan Kata Sandi via Email, Aman?

tuserparabola, JAKARTA — Pengguna Instagram di Indonesiamenerima notifikasi massal mengenai permintaan untuk mengganti kata sandi ataupasswordPermohonan itu telah dikirim melalui email kepada pengguna beberapa hari yang lalu menggunakan akun email Instagram yang memiliki tanda centang biru.

Anggri (34) salah satu pengguna Instagram mengakui telah menerima pemberitahuan melalui surel dari alamat email resmi Instagram untuk mengganti kata sandi pada 6 Januari 2026 atau lima hari yang lalu. Anggri tidak hanya menerima email tersebut sekali, tetapi berulang kali. Artinya, selama lima hari terakhir ini, Anggri sudah menerima dua pemberitahuan pada tanggal 6 Januari dan 10 Januari.

Anggri pernah memposting permohonan tersebut di story IG. Tiba-tiba ada 7 teman yang mengirim pesan langsung (DM) ke akunnya dan menyatakan mengalami kejadian serupa.

"Langsung menerima DM pada hari yang sama, mereka juga mengatakan mendapatkan notifikasi yang sama," kata Anggri kepada Bisnis, Minggu (11/1/2026).

Anggri menyatakan setelah menerima email tersebut, ia tidak langsung mengganti kata sandi karena takut hal itu merupakan bagian dari upaya penipu untuk mencuri data pentingnya. Terlebih lagi, kata sandi yang digunakannya mirip dengan kata sandi beberapa akun media sosial lainnya.

Masalah serupa juga dirasakan oleh pengguna IG dengan nama Denis, yang mengaku menerima email untuk mengganti kata sandi. Denis memutuskan untuk mengabaikan pesan tersebut karena takut itu merupakan tindakan penipuan. Dengan mengganti kata sandi, mereka merasa khawatir data pribadi mereka akan dicuri.

"Aku hanya mengabaikan permintaan tersebut melalui email. Semoga aman," kata Denis.

Perusahaan telah berusaha mengonfirmasi kepada Meta terkait isu dugaan kebocoran data Instagram dan kekhawatiran pengguna mengenai permintaan pergantian kata sandi IG melalui email. Sampai berita ini dirilis, Meta belum memberikan respons.

Tanda Biru Tidak Menandakan Asli

Di sisi lain, Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja menyarankan bahwa pengguna yang ingin mengganti kata sandi sebaiknya langsung melakukannya melalui aplikasi Instagram yang telah terdaftar di perangkat masing-masing karena sudah diverifikasi.

Ia meminta pengguna IG agar tidak mengklik tautan yang dikirim melalui email, meskipun berasal dari akun email resmi Instagram.

"Jangan mengklik tautan-tautan yang terdapat di dalam email atau pesan langsung karena saat ini sangat sulit untuk memverifikasi keaslian email-email tersebut," ujar Ardi kepada Bisnis.

Ia juga menekankan bahwa tanda centang biru tidak selalu menunjukkan akun resmi. Menurutnya, saat ini semakin banyak email phishing yang sulit diverifikasi keasliannya, terutama bagi sebagian besar pengguna yang kurang memahami isu keamanan siber.

"Kemudian jika melalui Instagram langsung, bagi pengguna lama tentu aplikasinya sudah diverifikasi dan telah di-perbaiki serta pembaruan terbaru sudah diterapkan, sehingga hanya perlu mengganti kata sandi. Jika mengklik tautan email, kita juga tidak tahu apakah alamat emailnya benar atau tidak. Tanda centang biru pun tidak menjamin," ujar Ardi kepada Bisnis.

Sejalan dengan pernyataan Ketua Bidang Network dan Infrastruktur Indonesian Digital Empowerment Community (IDIEC) Ariyanto A. Setyawan, masyarakat diminta untuk waspada apabila menerima permintaan penggantian kata sandi Instagram melalui email, karena kemungkinan besar pengirimnya bukan dari pihak Instagram resmi.

"Harap tunggu saja proses reset yang dilakukan oleh aplikasinya. Praktik terbaik dari pengembang aplikasi saat ini dalam proses pemaksaan ganti kata sandi adalah melalui aplikasinya sendiri, bukan melalui email. Jika menggunakan email, banyaknya phishing dan teknik semacam itu sudah ditinggalkan oleh pengembang aplikasi," ujar Ariyanto.

Diketahui bahwa Phishing adalah metode penipuan digital yang bertujuan mengambil data rahasia seperti nama pengguna, kata sandi, nomor rekening, atau informasi pribadi lainnya.

Pelaku penipuan phishing umumnya berpura-pura menjadi lembaga yang dapat dipercaya, seperti bank, Instagram, pemerintah, atau perusahaan besar melalui email, SMS, WhatsApp, panggilan telepon, atau situs web palsu. Mereka mengirim pesan yang terkesan mendesak seperti "Akun Anda akan ditutup, segera verifikasi" dengan tautan yang menuju ke halaman login palsu, sehingga korban memasukkan informasi mereka tanpa merasa curiga.

Kasus Phising Meningkat Signifikan

Di Indonesia, angka kejahatan phising cenderung meningkat. BSSN mencatat bahwa pada September 2025, aktivitas ancaman siber mencapai total 4,41 miliar, termasuk phising yang menjadi modus ketiga terbanyak setelah malware dan akses ilegal. Phising dianggap sebagai metode yang sering ditemukan dengan peningkatan hingga 26 juta kasus.

Di sisi lain, Komdigi mencatat terdapat 1,2 juta laporan penipuan digital hingga pertengahan tahun 2025, sebagian besar berupa phishing atau smishing melalui SMS atau email.

Sebelumnya, ribuan pengguna Instagram dari berbagai belahan dunia, termasuk di Indonesia, baru-baru ini menerima pemberitahuan permintaan penggantian kata sandi secara massal.

Laporan dari perusahaan keamanan Malwarebytes mengungkapkan adanya kebocoran data yang memengaruhi 17,5 juta akun Instagram, di mana informasi penting seperti nama pengguna, alamat fisik, nomor telepon, dan alamat email terpapar.

Malwarebytes mengidentifikasi pelanggaran ini melalui pemeriksaan berkala di dark web, yang berhubungan dengan kebocoran API Instagram pada tahun 2024. [conversation_history] Data tersebut kini tersedia secara terbuka dan bisa dimanfaatkan untuk serangan siber seperti phishing atau pencurian akun, menyebabkan peningkatan tajam dalam permintaan penggantian kata sandi yang membingungkan pengguna.

Dikutip dari Cybersecuritynews, Minggu (11/1/2026), menyebutkan bahwa kejadian ini awalnya memicu kekhawatiran mendalam mengenai privasi dan keamanan akun pengguna di seluruh dunia, termasuk di Indonesia.

Pedagang di web gelap dengan nama "Subkek" mengklaim data ini diambil melalui API publik Instagram dan sumber berbasis negara pada akhir 2024, dengan contoh catatan terlihat jelas dalam daftar. Kombinasi data ini memudahkan pencurian identitas, phishing yang ditargetkan, dan penggunaan teknik sosial, di mana pelaku kejahatan siber dapat mengirim pesan palsu seolah-olah berasal dari Instagram untuk mencuri kata sandi.