Dalam pernyataan resminya yang disampaikan pada Minggu (11/1/2026) waktu Amerika Serikat (AS), Instagram mengakui adanya masalah teknis yang memungkinkan pihak eksternal mengirim permintaan reset password ke sebagian pengguna. Namun, Instagram menegaskan bahwa sistem intinya tetap aman dan tidak terjadi kebocoran data.
“Kami telah memperbaiki masalah dari pihak luar yang memungkinkan pihak eksternal mengirim e-mail pengaturan ulang kata sandi ke sejumlah pengguna. Tidak ada pelanggaran terhadap sistem kami dan akun Instagram Anda tetap aman. Anda dapat mengabaikan e-mail tersebut. Kami mohon maaf atas ketidaknyamanan yang terjadi,” tulis Instagram melalui platform X (sebelumnya Twitter).
Klarifikasi ini muncul setelah adanya laporan dari perusahaan perangkat lunak keamanan siber, Malwarebytes. Perusahaan tersebut mengungkap bahwa mereka menerima notifikasi e-mail permintaan pergantian kata sandi Instagram, yang kemudian memicu penyelidikan lebih lanjut.
Dalam laporannya, Malwarebytes mengklaim menemukan sekitar 17,5 juta data sensitif pengguna Instagram yang diduga beredar di situs gelap (dark web). Data tersebut disebut mencakup berbagai informasi pribadi, seperti username, alamat e-mail, nomor telepon, hingga alamat pengguna.
Sebagaimana dirangkum dari Engadget, dugaan kebocoran ini diduga berkaitan dengan celah pada API (application programming interface) Instagram yang terjadi pada 2024. Dataset tersebut kemudian diklaim dipublikasikan ulang oleh pihak tak bertanggung jawab di dark web pada 7 Januari 2026.
Malwarebytes menyebut, data yang beredar diklaim berisi lebih dari 17 juta data pengguna Instagram dalam format dokumen “JSON” dan “TXT”, dengan target pengguna dari berbagai negara. Contoh data yang dianalisis memperlihatkan informasi mentah (raw) khas Instagram, seperti username, alamat e-mail, nomor telepon internasional, hingga user ID.
Struktur data yang rapi dan konsisten tersebut dinilai menyerupai respons API, sehingga memperkuat dugaan bahwa data dikumpulkan melalui celah API, integrasi pihak ketiga, atau konfigurasi sistem yang tidak aman sebelum 2025.