Bisnis.com, JAKARTA — Pengguna Instagram di Indonesia mendapat notifikasi massal terkait permohonan untuk mengganti kata sandi atau password. Permohonan tersebut dikirim melalui surel kepada pengguna sejak beberapa hari lalu melalui akun email Instagram dengan centang biru.
Anggri (34) salah satu pengguna Instagram mengaku telah menerima notifikasi lewat surel dari email resmi Instagram untuk mengganti password pada 6 Januari 2026 atau 5 hari lalu. Anggri tidak hanya mendapat email itu sekali, tetapi berkali-kali. Maksudnya, selama 5 hari ini Anggri sudah mendapat 2 kali notifikasi pada tanggal 6 Januari dan 10 Januari.
Anggri sempat mengunggah permohonan tersebut di story IG. Seketika ada 7 teman yang mengirim pesan langsung (DM) ke akunnya dan mengaku mengalami hal yang sama.
“Langsung dapat DM hari itu juga, mereka bilang juga dapat notifikasi yang sama,” kata Anggri kepada Bisnis, Minggu (11/1/2026).
Surel permohonan ganti password IG
Anggri mengatakan setelah mendapat email tersebut dirinya tidak langsung mengganti password karena khawatir itu bagian dari upaya penipu mencuri data-data pentingnya. Terlebih, password yang dia pakai mirip dengan password beberapa akun media sosial lainnya.
Masalah serupa juga dialami oleh pengguna IG bernama Denis, yang juga mengaku mendapat email untuk mengubah password. Denis memilih mengabaikan pesan tersebut karena khawatir itu sebagai upaya scam. Dengan mengganti password, mereka khawatir data mereka diambil.
“Aku diamkan permintaan saja permintaannya di email. Semoga aman,” kata Denis.
Bisnis telah mencoba mengonfirmasi kepada Meta mengenai kabar dugaan data bocor Instagram dan kekhawatiran pengguna terkait permintaan penggantian password IG lewat email. Hingga berita ini diturunkan, Meta tidak membalas.
Centang Biru Tak Berarti Asli
Sementara itu Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja menyarankan jika pengguna ingin melakukan pengkinian password, sebaiknya langsung di aplikasi Instagram yang sudah terdaftar di perangkat masing-masing karena sudah terverifikasi.
Dia mengimbau agar pengguna IG tidak mengklik tautan yang disebar di email meski itu dari akun email resmi Instagram.
“Jangan mengklik link-link atau tautan-tautan yang ada di email atau DM karena sekarang sangat sulit untuk verifikasi benar atau tidaknya email-email tersebut,” kata Ardi kepada Bisnis.
Dia juga menekankan bahwa centang biru belum tentu akun resmi. Menurutnya, saat ini makin banyak email-email phising yang sulit diverifikasi keabsahannya terutama oleh mayoritas pengguna yang awam tentang masalah keamanan siber.
“Terus kalau di IG langsung, kalau pengguna lama tentunya aplikasinya sudah terverifikasi dan sudah di-patch dan pengkiniannya sudah yang terbaru sehingga tinggal pengkinian passwordnya. Kalau klik link email, kita juga tidak tahu apakah emailnya bener atau tidak?. Centang biru juga tidak menjamin,” kata Ardi kepada Bisnis.
Senada, Ketua Bidang Network dan Infrastruktur Indonesian Digital Empowerment Community (IDIEC) Ariyanto A. Setyawan meminta masyarakat untuk berhati-hati jika mendapat permintaan ganti password Instagram melalui email karena kemungkinan besar yang mengirim email adalah pihak lain, bukan pihak Instagram resmi.
“Tunggu dipaksa reset dari aplikasinya saja. Best practicenya di pengembang aplikasi saat ini untuk proses pemaksaan ganti password itu ya di aplikasinya, bukan dikirim email. Kalau email, banyaknya phishing dan teknik itu sudah ditinggalkan oleh pengembang aplikasi,” kata Ariyanto.
Untuk diketahui Phishing merupakan teknik penipuan siber yang bertujuan mencuri data sensitif seperti username, password, nomor rekening, atau informasi pribadi lainnya.
Pelaku phishing biasanya menyamar sebagai entitas tepercaya seperti bank, Instagram, pemerintah, atau perusahaan besar melalui email, SMS, WhatsApp, telepon, atau situs web palsu. Mereka mengirim pesan mendesak seperti “Akun Anda akan diblokir, verifikasi sekarang” dengan tautan yang mengarah ke halaman login tiruan, sehingga korban memasukkan data tanpa curiga.
Kasus Phising Meningkat Signifikan
Di Indonesia angka phising cenderung meningkat. BSSN mencatat pada September 2025 aktivitas anomali siber total mencapai 4,41 miliar, termasuk phishing sebagai urutan ke-3 modus terbanyak setelah malware dan akses tidak sah. Phishing disebut modus yang banyak ditemui dengan lonjakan hingga 26 juta kasus.
Sementara itu Komdigi mencatat ada 1,2 juta laporan penipuan digital hingga pertengahan 2025, mayoritas phishing/smishing via SMS/email.
Sebelumnya, ribuan pengguna Instagram di seluruh dunia, termasuk di Indonesia, baru-baru ini menerima notifikasi permintaan reset password secara massal.
Laporan dari perusahaan antivirus Malwarebytes menyebut telah terjadi kebocoran data yang memengaruhi 17,5 juta akun Instagram dengan informasi sensitif seperti nama pengguna, alamat fisik, nomor telepon, dan alamat email yang bocor.
Data pengguna IG dijual di darkweb
Malwarebytes menemukan pelanggaran ini melalui pemindaian rutin di dark web, yang terkait dengan kebocoran API Instagram pada 2024.[conversation_history] Data tersebut kini dijual secara terbuka dan berpotensi disalahgunakan untuk serangan siber seperti phishing atau pengambilalihan akun, memicu lonjakan permintaan reset password yang membingungkan pengguna.
Dilansir dari Cybersecuritynews, Minggu (11/1/2026), melaporkan insiden ini awal memicu kekhawatiran serius soal privasi dan keamanan akun pengguna global, termasuk di Indonesia.
Penjual di dark web bernama “Subkek” mengklaim data ini di-scrape melalui API publik Instagram dan sumber negara-spesifik pada akhir 2024, dengan sampel record terlihat jelas di listing. Kombinasi data ini memudahkan pencuri identitas, phishing targeted, dan social engineering, di mana penjahat siber bisa kirim pesan palsu seolah dari Instagram untuk curi kata sandi.