Instagram kembali menjadi sorotan setelah ditemukan celah keamanan serius pada fitur reset password berbasis web. Bug yang terungkap pada 6 Juni 2026 ini menyebabkan alamat email dan nomor telepon pengguna ditampilkan secara utuh saat proses pemulihan akun, padahal informasi tersebut seharusnya disamarkan demi menjaga privasi pengguna.
Baca Juga : Kerentanan Instagram Meta AI Memungkinkan Reset Password Pengguna
Masalah ini bahkan berdampak pada sejumlah akun terkenal, termasuk akun milik CEO Meta Mark Zuckerberg dan model Georgina Rodriguez. Tak lama setelah temuan tersebut dipublikasikan, tangkapan layar bukti konsep (proof-of-concept) mulai beredar luas di media sosial dan menunjukkan seberapa besar cakupan kerentanan yang terjadi.
Bug Berasal dari Fitur Reset Password Instagram
Meta is still having some minor security problems. Instagram is currently exposing phone numbers and email addresses associated with accounts when trying to perform a password reset
This is cool and badass because everyone is sharing Mark Zuckerbergs phone number right now
— vx-underground (@vxunderground) June 6, 2026
Kerentanan ditemukan pada antarmuka reset password Instagram versi web. Normalnya, halaman pemulihan akun hanya menampilkan sebagian informasi kontak yang telah disamarkan, misalnya alamat email seperti m*@fb.com** atau sebagian nomor telepon yang tidak bisa dikenali secara penuh.
Namun, akibat kesalahan logika pada sistem, mekanisme penyamaran tersebut tidak berjalan sebagaimana mestinya. Alhasil, pengguna yang melakukan permintaan reset password terhadap sebuah akun dapat melihat alamat email dan nomor telepon yang terhubung dengan akun tersebut secara lengkap.
Peneliti keamanan menemukan bahwa cukup dengan memasukkan nama pengguna (username) ke dalam formulir reset password, sistem akan mengembalikan informasi kontak tanpa proses penyamaran yang seharusnya diterapkan.
Bukti Kerentanan Sempat Beredar di Media Sosial
Beberapa akun komunitas keamanan siber, termasuk @vxunderground, membagikan tangkapan layar yang memperlihatkan halaman login akun tertentu. Salah satu contoh yang banyak dibahas adalah akun dengan username zuck, yang menampilkan beberapa alamat email terkait beserta nomor telepon yang terhubung.
Temuan ini dinilai cukup serius karena bertentangan dengan kebijakan minimisasi data yang diterapkan Meta. Selain itu, insiden tersebut juga berpotensi menimbulkan pertanyaan terkait kepatuhan terhadap regulasi privasi seperti GDPR Article 25, yang mengatur prinsip privacy by design dalam pengelolaan data pengguna.
Meta Bergerak Cepat Menutup Celah
Meta is moving from one security failure to another. A few hours ago, a new logic bug dropped in the Web Reset flow, leaking sensitive account data before getting hit with an emergency hotfix. This is what happens when you fire the experts and rely on brain-dead AI to run core… pic.twitter.com/qbjEhVjUQi
— Scot (@Scot0xo) June 6, 2026
Bug ini pertama kali ditemukan dan didemonstrasikan secara publik pada 6 Juni 2026 oleh para peneliti keamanan yang memantau infrastruktur pemulihan akun Meta.
Beberapa jam setelah informasi tersebut viral, peneliti keamanan @Scot0xo mengonfirmasi melalui platform X bahwa masalah yang terjadi merupakan bug logika pada alur reset password berbasis web. Kerentanan ini bukan disebabkan oleh kebocoran API, pencurian kredensial, maupun peretasan server yang berhasil menembus sistem internal Meta.
Menanggapi temuan tersebut, Meta segera merilis hotfix darurat untuk memperbaiki masalah. Dalam pernyataan resminya, perusahaan menyebutkan:
“Kami telah memperbaiki masalah yang memungkinkan pihak eksternal meminta email reset password untuk sejumlah pengguna Instagram. Tidak ada pelanggaran terhadap sistem kami.”
Menambah Daftar Insiden Keamanan Instagram di 2026
Insiden terbaru ini menambah daftar masalah keamanan yang menimpa Instagram sepanjang tahun 2026. Pada Januari lalu, penyalahgunaan fitur reset password juga sempat memungkinkan pihak ketiga memicu pengiriman email reset password dalam jumlah besar.
Peristiwa tersebut terjadi berdekatan dengan dugaan kebocoran sekitar 17,5 juta data pengguna Instagram yang beredar di forum dark web.
Tak hanya itu, pada awal Juni 2026, kerentanan lain juga ditemukan pada chatbot dukungan pelanggan berbasis AI milik Meta. Pelaku ancaman diketahui memanfaatkan teknik prompt injection untuk mengambil alih sejumlah akun penting, termasuk halaman arsip Gedung Putih dan akun U.S. Space Force, dengan cara mengelabui sistem agar menghubungkan akun target ke alamat email yang mereka kendalikan.
Risiko Tetap Ada Meski Tidak Terjadi Kebocoran Massal
Menurut para peneliti keamanan, meningkatnya frekuensi insiden semacam ini sebagian dipengaruhi oleh keputusan arsitektur yang semakin mengandalkan otomatisasi berbasis AI dalam fungsi-fungsi sensitif, termasuk pemulihan akun.
Mereka menilai bahwa memberikan akses istimewa kepada sistem AI tanpa mekanisme verifikasi identitas yang kuat dapat menciptakan risiko sistemik yang lebih besar di masa depan.
Meta menegaskan bahwa tidak terjadi eksfiltrasi data dalam skala luas pada insiden 6 Juni tersebut. Meski demikian, paparan singkat terhadap alamat email dan nomor telepon yang tidak disamarkan tetap berpotensi dimanfaatkan oleh pelaku kejahatan siber untuk menjalankan serangan phishing, SIM swapping, maupun pengambilalihan akun yang ditargetkan.
Selain itu, informasi mengenai beberapa alamat email yang terhubung ke satu akun juga dapat membantu penyerang memetakan identitas digital korban di berbagai layanan online lainnya.
Baca Juga : Meta AI Disalahgunakan Hacker untuk Reset Password Instagram
Hingga artikel ini diterbitkan, Meta masih belum mengumumkan identitas CVE (Common Vulnerabilities and Exposures) untuk bug logika tersebut. Pengguna dan tim keamanan disarankan untuk terus memantau pembaruan resmi dari Meta guna memperoleh informasi lebih lanjut terkait insiden ini.
