Sebuah celah keamanan kritis pada fitur pemulihan akun berbasis kecerdasan buatan (AI) milik Meta di Instagram dilaporkan memungkinkan pelaku kejahatan siber mengambil alih akun bernilai tinggi. Kerentanan ini terjadi karena chatbot Meta AI dapat dimanipulasi untuk meneruskan kode reset password kepada pihak yang tidak berwenang tanpa melalui proses verifikasi identitas yang semestinya.
Baca Juga : 3 Cara Lihat Peta di Instagram dan Menonaktifkan Lokasi Kita
Temuan ini pertama kali diungkap oleh peneliti keamanan ZachXBT dan Dark Web Informer. Keduanya mengungkap bahwa sejumlah pelaku ancaman berhasil menemukan cara untuk mengeksploitasi asisten Meta AI di Instagram, sebuah fitur yang dirancang untuk membantu pengguna memulihkan akses ke akun mereka.
Menurut laporan yang beredar, para pelaku berinteraksi dengan chatbot AI dan memberikan perintah tertentu agar sistem mengirimkan kode reset password ke pihak yang tidak memiliki hak akses. Yang menjadi masalah, proses tersebut dapat dilakukan tanpa harus melewati pemeriksaan identitas pengguna terlebih dahulu.
Celah keamanan ini muncul akibat kurangnya kontrol dalam mekanisme AI saat memproses permintaan pemulihan akun. Akibatnya, siapa pun yang mengetahui nama pengguna (username) target berpotensi memulai proses pengambilalihan akun.
Menariknya, eksploitasi ini bukanlah hasil dari peretasan server atau kebocoran sistem backend Meta. Perusahaan menegaskan bahwa tidak ada sistem internal yang berhasil ditembus. Sebaliknya, kerentanan berada pada lapisan logika AI yang tidak memiliki pembatasan yang memadai, seperti rate limiting maupun mekanisme autentikasi yang kuat sebelum menjalankan permintaan reset password.
Akun Instagram Bernilai Tinggi Menjadi Sasaran
🚨 Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj
— Dark Web Informer (@DarkWebInformer) June 1, 2026
Dalam praktiknya, para pelaku tidak menyerang akun secara acak. Mereka diketahui secara khusus membidik akun Instagram premium yang memiliki username pendek dan bernilai tinggi di pasar jual beli akun.
Beberapa akun yang disebut menjadi target antara lain akun dengan username @hey dan @jowo. Nama-nama akun seperti ini memang dikenal memiliki nilai jual yang tinggi di komunitas bawah tanah karena kelangkaannya.
Bahkan, sejumlah akun yang menjadi sasaran dilaporkan memiliki nilai gabungan lebih dari 1 juta dolar AS. Setelah berhasil diambil alih, akun-akun tersebut dengan cepat diperjualbelikan melalui kanal Telegram privat sebelum Meta sempat melakukan tindakan pencegahan.
Kecepatan proses tersebut menunjukkan bahwa pelaku ancaman saat ini semakin terorganisir dan memiliki motif finansial yang kuat dalam mengeksploitasi celah keamanan pada platform media sosial.
Dark Web Informer juga mengonfirmasi adanya aktivitas penjualan akun hasil pembajakan tersebut. Mereka menemukan berbagai listing akun curian yang beredar di sejumlah grup Telegram secara real-time. Praktik seperti ini kini semakin umum dalam ekosistem kejahatan siber yang dikenal sebagai account-takeover-as-a-service.
Meta Segera Menambal Kerentanan
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
Setelah laporan mengenai kerentanan ini ramai dibahas secara online, Meta bergerak cepat dengan merilis perbaikan pada Jumat malam.
Dalam pernyataan resminya, perusahaan mengatakan:
“Kami telah memperbaiki masalah yang memungkinkan pihak eksternal meminta email reset password untuk sebagian pengguna Instagram. Tidak ada pelanggaran terhadap sistem kami dan akun Instagram pengguna tetap aman.”
Meski celah tersebut telah ditambal, insiden ini memunculkan pertanyaan serius mengenai keamanan fitur dukungan berbasis AI, khususnya yang memiliki akses terhadap fungsi sensitif seperti pemulihan akun.
Cara Melindungi Akun Instagram dari Ancaman Serupa
Kabar baiknya, akun yang telah mengaktifkan autentikasi dua faktor atau Two-Factor Authentication (2FA) dilaporkan tidak terdampak oleh serangan ini.
Untuk meningkatkan keamanan akun Instagram, para pakar keamanan menyarankan beberapa langkah berikut:
- Aktifkan 2FA berbasis aplikasi seperti Google Authenticator atau Authy, bukan hanya melalui SMS.
- Gunakan alamat email pribadi yang tidak dipublikasikan atau dikaitkan secara terbuka dengan profil Instagram.
- Hindari penggunaan password yang sama di berbagai platform.
- Manfaatkan aplikasi password manager terpercaya untuk mengelola kata sandi.
- Periksa aktivitas login secara berkala melalui menu Security Settings di Instagram.
- Simpan kode cadangan pemulihan akun di tempat yang aman untuk digunakan saat keadaan darurat.
Baca Juga : Meta Luncurkan Langganan Instagram, Facebook, dan WhatsApp
Insiden ini menjadi pengingat bahwa semakin luas akses yang dimiliki teknologi AI terhadap fungsi pengelolaan akun, semakin besar pula risiko keamanan yang harus dihadapi. Kasus Meta AI menunjukkan bahwa celah pada logika sistem AI dapat menjadi pintu masuk baru bagi serangan rekayasa sosial, sehingga diperlukan perlindungan dan pengawasan yang jauh lebih ketat di masa mendatang.
