Image credit: magnific
Serem! 20 Ribu Akun Instagram Dibajak Hacker – Meta akhirnya merilis data resmi terkait insiden pembajakan akun massal yang sempat mengguncang jagat media sosial.
Perusahaan mengonfirmasi bahwa lebih dari 20.000 pengguna Instagram menjadi korban peretasan, setelah para penjahat siber berhasil memanipulasi sistem layanan bantuan bertenaga kecerdasan buatan (AI) milik Meta untuk melakukan setel ulang (reset) kata sandi secara ilegal.
Serangan ini mengeksploitasi celah kritis pada fitur High Touch Support (HTS), sebuah sistem pemulihan berbasis asisten AI yang dirancang untuk membantu pengguna masuk kembali ke akun Instagram mereka saat terkunci.
Para pelaku memanfaatkan kelemahan fatal di mana sistem HTS tidak memverifikasi apakah alamat email yang dimasukkan oleh pemohon benar-benar tertaut dengan akun Instagram yang ditargetkan.
Akibatnya, peretas bisa dengan mudah mendapatkan tautan pengubahan kata sandi resmi, lalu masuk dan menguasai puluhan ribu akun tanpa terhalang oleh sistem keamanan otentikasi dua faktor (2FA).
Kronologi Data Pengguna yang Terpapar
Gelombang keluhan dari para pengguna yang kehilangan akses akun berharga mereka sempat membanjiri berbagai platform daring.
Menanggapi situasi tersebut, Andy Stone selaku Wakil Presiden Komunikasi Meta, mengumumkan lewat saluran media sosialnya.
Bahwa masalah tersebut telah diselesaikan dan pihak perusahaan tengah bergerak proaktif mengamankan akun-akun yang terdampak.
Rincian mengenai awal mula terjadinya serangan ini terungkap melalui surat pemberitahuan kebocoran data resmi yang diajukan Meta kepada Kantor Jaksa Agung Maine.
Awal Mula Intrusi: Berdasarkan dokumen pengajuan tersebut, serangan siber memanfaatkan celah HTS ini terdeteksi pertama kali terjadi pada tanggal 17 April 2026.
|
Baca juga: Stop Spam di Router |
Penemuan Celah: Tim internal Meta baru mengidentifikasi keberadaan eksploitasi aktif pada sistem asisten pemulihan bertenaga AI tersebut pada tanggal 31 Mei 2026.
Meskipun Meta menyatakan tidak memiliki bukti langsung mengenai data pribadi apa saja yang telah disalahgunakan atau dieksfiltrasi peretas.
Dari puluhan ribu akun tersebut, perusahaan memperingatkan adanya potensi paparan kebocoran data krusial yang sangat luas, meliputi:
- Informasi kontak utama pengguna (alamat email dan/atau nomor telepon).
- Catatan tanggal lahir pemilik akun.
- Seluruh konten media sosial yang diunggah (foto, video, dan cerita/stories).
- Riwayat pesan langsung (Direct Messages/DM) dan komunikasi privat.
- Catatan riwayat aktivitas akun serta sejarah interaksi digital pengguna.
- Informasi profil lengkap (biografi dan foto profil).
- Akses ke akun lain yang terhubung serta layanan pihak ketiga yang ditautkan (linked services).
Penyelamatan Massal dan Evaluasi Internal Meta
Sesaat setelah mendeteksi jalannya kampanye pembajakan tersebut, Meta segera mengambil tindakan darurat dengan mematikan sistem layanan bantuan HTS bertenaga AI secara total.
Perusahaan juga membatalkan fungsi seluruh tautan setel ulang kata sandi yang telah diproduksi oleh robot tersebut guna memastikan tidak ada lagi upaya pembajakan lanjutan yang memanfaatkan celah yang sama.
Sebagai langkah pemulihan akun bagi para korban, Meta memasukkan seluruh akun yang terindikasi rentan ke dalam pos pemeriksaan keamanan wajib (mandatory security checkpoint).
Para pemilik akun diminta untuk melakukan pengaturan ulang kata sandi kembali secara mandiri serta melakukan otentikasi ulang demi merebut kembali kendali penuh atas identitas digital mereka yang sempat dikuasai peretas.
Catatan kegagalan perlindungan data ini menambah rentetan rapor merah bagi perusahaan raksasa tersebut. Beberapa waktu sebelumnya, otoritas siber Irlandia juga sempat menjatuhkan sanksi denda sebesar $264 juta kepada Meta terkait kasus kebocoran data massal yang mengekspos nama, email, nomor telepon, hingga lokasi fisik dari 29 juta pemilik akun Facebook.
Risiko ”Logic Flaw” pada Otomatisasi Penuh
Para peneliti siber mengingatkan bahwa insiden HTS Instagram ini merupakan contoh klasik dari kerentanan cacat logika dalam arsitektur kecerdasan buatan.
Berbeda dengan celah keamanan tradisional yang memanfaatkan kerusakan kode biner (code bug), cacat logika terjadi ketika sebuah sistem AI mengeksekusi perintah alur kerja yang secara desain strukturalnya tidakmemiliki gerbang validasi yang kokoh.
Ketergantungan industri teknologi besar pada asisten virtual mandiri demi memangkas biaya operasional layanan konsumen sering kali melahirkan titik buta baru.
Peretas modern tidak lagi perlu meretas enkripsi pertahanan; mereka cukup mempelajari alur berpikir algoritma chatbot pemulihan.
Lalu memanipulasinya menggunakan teknik rekayasa sosial digital untuk mendapatkan hak istimewa setingkat administrator tanpa memicu kecurigaan dari sistem keamanan internal.
|
Baca juga: Ancaman Pemerasan Digital di Era Kecerdasan Buatan (AI) |
Panduan Pengamanan Identitas Digital
Mengingat eksploitasi ini terjadi di tingkat infrastruktur penyedia layanan dan mampu mem-bypass fitur 2FA konvensional.
Para peneliti siber dan tim ahli dari ESET mengimbau para pengguna media sosial untuk menerapkan langkah-langkah proteksi proaktif sebagai berikut:
1. Lakukan Audit Akses Pihak Ketiga.
Masuk ke menu pengaturan Instagram Anda dan periksa daftar aplikasi atau layanan pihak ketiga yang tertaut.
Putuskan koneksi aplikasi yang sudah tidak aktif digunakan untuk memperkecil area serangan sekunder.
2. Aktifkan Autentikasi Berbasis Aplikasi.
Tinggalkan pengiriman kode verifikasi 2FA melalui SMS yang rawan pembajakan nomor seluler.
Beralihlah menggunakan aplikasi otentikasi khusus atau kunci fisik berbasis perangkat keras demi perlindungan identitas digital yang lebih kokoh.
3. Gunakan Lapisan Proteksi Identitas dan Anti-Phishing dari ESET.
Guna melindungi kredensial email dari pengambilalihan akun berantai yang akibat kebocoran eksternal, memasang solusi keamanan adalah langkah yang sangat vital.
Solusi ESET Smart Security dilengkapi dengan modul perlindungan privasi tingkat tinggi serta sistem deteksi Anti-Phishing berbasis awan (cloud-delivered protection).
Ketika akun email atau data kontak Anda terpapar akibat kebocoran massal seperti kasus Meta HTS, peretas sering kali menggunakan informasi tersebut untuk melancarkan serangan phishing lanjutan guna menguasai email utama Anda.
Sistem ESET secara aktif:
- Mengawasi jika ada anomali lalu lintas data.
- Mengunci folder penyimpanan kata sandi dari aplikasi penguras data (infostealer),.
- Memblokir situs web palsu yang mencoba memanen token sesi media sosial Anda.
Melalui perlindungan proaktif berlapis dari ESET, kedaulatan identitas digital, akun surel, hingga akun media sosial bisnis Anda tetap aman terjaga dari incaran peretas internasional.
Pedang Bermata Dua Otomatisasi
Kasus pembajakan massal via celah HTS milik Meta membuktikan bahwa otomatisasi pertahanan yang terlalu mengandalkan kecerdasan buatan tanpa pengawasan manusia justru dapat bertransformasi menjadi senjata makan tuan.
Kegagalan validasi email sederhana pada gerbang pemulihan telah membuka jalan bagi pencurian identitas siber berskala masif yang merugikan puluhan ribu pengguna.
Keamanan siber di era digital masa kini tidak boleh hanya terpaku pada penguatan parameter log masuk utama, melainkan harus dibarengi dengan evaluasi ketat terhadap sistem bantuan di balik layar.
Dengan menerapkan metode otentikasi kebal eksploitasi, rutin melakukan audit keamanan mandiri, serta mengandalkan solusi proteksi proaktif yang andal.
Kita dapat memastikan jejak kreativitas dan privasi komunikasi kita di media sosial tetap aman terlindungi dari jerat kriminalitas siber global.
Sumber berita:
