JBNews.id — Sebanyak 20.225 akun Instagram berhasil dibajak oleh peretas yang mengeksploitasi celah pada chatbot dukungan berbasis kecerdasan buatan (AI) milik Meta. Perusahaan mengonfirmasi insiden ini dalam pemberitahuan yang diajukan ke negara bagian Maine, Amerika Serikat, dan pertama kali diungkap oleh Bleeping Computer.
Dalam pemberitahuan tersebut, Meta menyalahkan adanya bug pada sistem yang memungkinkan penyerang membajak akun tanpa memerlukan autentikasi dua faktor (2FA). Celah ini bekerja dengan cara memanfaatkan fitur password reset yang seharusnya aman.
“Alat itu sendiri bekerja dengan baik dan berfungsi sebagaimana mestinya; namun karena bug pada jalur kode terpisah, sistem tidak memverifikasi dengan benar bahwa alamat email yang diberikan oleh individu yang meminta reset kata sandi cocok dengan alamat email yang terkait dengan akun Instagram pengguna tersebut,” demikian pernyataan resmi Meta dalam dokumen yang dikutip JBNews.id.
Akibatnya, ketika seseorang memberikan alamat email yang tidak terkait sebelumnya dengan akun, sistem secara keliru mengirimkan tautan reset kata sandi ke email yang tidak terkait tersebut, alih-alih menolak permintaan. Hal ini memungkinkan pihak ketiga yang tidak sah untuk menerima tautan reset kata sandi untuk akun yang bukan milik mereka.
Kronologi Serangan dan Dampak ke Akun Publik Figur
Meta mengungkapkan bahwa serangan pertama kali terdeteksi pada 31 Mei 2026. Kepala Komunikasi Meta, Andy Stone, menyatakan bahwa perusahaan telah “menyelesaikan” insiden tersebut pada 1 Juni 2026. Dalam rentang waktu singkat itu, sejumlah akun Instagram profil tinggi terkena dampak, termasuk akun Gedung Putih lama milik mantan Presiden Barack Obama, Kepala Sersan Mayor Angkatan Luar Angkasa AS John F. Bentivegna, dan merek ritel Sephora.
Pembajakan akun selebritas dan institusi ini menunjukkan betapa seriusnya celah keamanan tersebut. Meskipun akun-akun besar menjadi sorotan, data menunjukkan bahwa mayoritas korban adalah pengguna biasa yang tidak mengaktifkan fitur keamanan tambahan.
Dalam pemberitahuan yang sama, Meta menambahkan bahwa pihaknya “tidak mengetahui” apakah ada data pribadi yang diakses sebagai akibat dari eksploitasi ini. Namun, perusahaan mencatat bahwa pembajak akun bisa saja memperoleh alamat email, nomor telepon, tanggal lahir, unggahan media sosial, pesan langsung, informasi profil, aktivitas akun, dan akun yang terhubung.
30 Korban di Maine dan Batas Atas Angka
Pemberitahuan tersebut menyebutkan bahwa 30 dari pengguna yang terkena dampak tinggal di Maine. Angka ini merujuk pada “pengguna yang kata sandinya diatur ulang melalui alat dukungan, tidak mengaktifkan 2FA di akun mereka, dan akun Instagram mereka kemungkinan diakses oleh pihak yang tidak sah.”
Meskipun demikian, Meta menyatakan bahwa angka 20.225 adalah “batas atas” (upper bound), karena beberapa akun ini mungkin telah diakses secara sah. Perusahaan menekankan bahwa tidak semua akun yang tercatat pasti diretas, tetapi merupakan jumlah maksimum potensial yang perlu diwaspadai.
Angka ini memberikan gambaran tentang skala ancaman yang dihadapi oleh pengguna Instagram di seluruh dunia, terutama mereka yang mengandalkan keamanan dasar tanpa lapisan perlindungan tambahan.
Respons Meta: Nonaktifkan Alat AI dan Perbaiki Kode
Meta mengambil langkah cepat setelah menemukan bug tersebut. Perusahaan menonaktifkan alat dukungan AI yang menjadi pintu masuk eksploitasi dan menghapus jalur kode yang bermasalah. Selain itu, Meta membatalkan semua tautan reset kata sandi yang dihasilkan menggunakan celah tersebut.
Langkah mitigasi paling penting adalah Meta mendaftarkan semua akun yang berpotensi terkena dampak “ke dalam pos pemeriksaan keamanan wajib yang memerlukan autentikasi sebelum akses akun apa pun.” Ini berarti pengguna yang akunnya dicurigai harus melalui proses verifikasi tambahan sebelum bisa masuk kembali.
Langkah ini menunjukkan bahwa Meta menganggap serius insiden ini, terutama karena melibatkan chatbot AI yang seharusnya mempermudah layanan pelanggan, bukan menjadi celah keamanan.
Implikasi untuk Pengguna: Pentingnya 2FA
Data dari pemberitahuan Meta menunjukkan bahwa semua akun yang berhasil dibajak tidak memiliki autentikasi dua faktor (2FA) yang aktif. Ini menjadi pengingat keras bagi pengguna media sosial tentang pentingnya mengaktifkan lapisan keamanan tambahan.
Meskipun bug pada sistem Meta menjadi penyebab utama, tidak adanya 2FA membuat akun-akun tersebut rentan terhadap eksploitasi. Dengan 2FA aktif, bahkan jika peretas berhasil mendapatkan tautan reset kata sandi, mereka tetap memerlukan kode verifikasi yang dikirim ke perangkat tepercaya pengguna.
Bagi pengguna biasa di Indonesia, insiden ini menunjukkan bahwa keamanan akun media sosial tidak boleh dianggap remeh. Mengaktifkan fitur keamanan seperti 2FA, menggunakan kata sandi yang kuat dan unik, serta waspada terhadap tautan mencurigakan adalah langkah-langkah dasar yang bisa melindungi akun dari upaya peretasan serupa.
Kisah ini juga menyoroti risiko yang melekat pada penggunaan kecerdasan buatan dalam layanan pelanggan. Ketika sistem AI tidak dirancang dengan pengamanan yang ketat, celah kecil dalam kode bisa berdampak besar pada jutaan pengguna.
Meta sendiri belum memberikan pernyataan lebih lanjut mengenai apakah akan ada kompensasi atau langkah hukum bagi para korban. Namun, perusahaan menegaskan bahwa insiden ini telah diatasi dan sistem telah diperkuat untuk mencegah kejadian serupa di masa depan.
Bagi pengguna yang khawatir akunnya terkena dampak, disarankan untuk segera mengganti kata sandi, mengaktifkan 2FA, dan memeriksa aktivitas login terbaru di pengaturan akun Instagram. Keamanan digital adalah tanggung jawab bersama antara penyedia layanan dan pengguna.