Celah Keamanan Instagram Bikin Postingan Private Bisa Dilihat Semua Orang

bacatutorial /

Celah Keamanan Instagram Bikin Postingan Private Bisa Dilihat Semua OrangPrivasi di media sosial seharusnya jadi hal yang paling dijaga, apalagi untuk akun yang sengaja dikunci agar hanya bisa dilihat oleh orang-orang tertentu. Namun, fakta mengejutkan terungkap setelah seorang peneliti keamanan menemukan celah serius di sistem Instagram yang memungkinkan postingan akun private diakses oleh siapa saja, bahkan tanpa login dan tanpa harus menjadi followers.

Baca Juga : Cara Memulihkan Akun Instagram yang Kena Pelanggaran, 100% Berhasil

Temuan ini diungkap oleh Jatin Banga, seorang security researcher, melalui laporan resmi yang dipublikasikan pekan ini. Dalam laporannya, ia menjelaskan bahwa kerentanan tersebut berasal dari sisi server Instagram dan berdampak cukup signifikan terhadap perlindungan privasi pengguna.

Celah Server-Side yang Tidak Biasa

Berbeda dari kasus kebocoran data yang biasanya disebabkan oleh kesalahan cache atau konfigurasi CDN, celah ini justru berasal dari logika otorisasi di sisi server Instagram. Artinya, sistem gagal memverifikasi apakah seseorang benar-benar berhak mengakses konten dari akun private.

Menurut Banga, celah ini sudah diam-diam ditambal oleh Meta pada Oktober 2025, tanpa ada pengumuman resmi ke publik. Kerentanan tersebut memanfaatkan kombinasi tertentu dari HTTP header, khususnya saat mengakses Instagram melalui antarmuka web mobile.

Dengan kata lain, selama permintaan dikirim menggunakan konfigurasi header tertentu, server Instagram akan “tertipu” dan mengirimkan data yang seharusnya tidak boleh diakses oleh publik.

Mekanisme Eksploit “Polaris”

Celah ini dikenal dengan nama “Polaris” exploit, yang bekerja dengan cara cukup teknis namun efektif. Banga menemukan bahwa saat seseorang mengirim permintaan GET tanpa autentikasi ke alamat:

instagram.com/<username_private>

dengan user-agent mobile tertentu, server justru mengembalikan data JSON bernama polaris_timeline_connection.

Dalam kondisi normal, objek ini seharusnya kosong atau dibatasi jika akun bersifat private dan diakses oleh non-followers. Namun pada akun yang terdampak, server malah mengirimkan array lengkap berisi data postingan, termasuk:

  • Tautan langsung ke media (gambar resolusi tinggi)

  • Caption asli

  • Metadata postingan

  • Akses CDN tanpa proteksi tambahan

Singkatnya, konten private bisa diakses langsung melalui URL CDN yang terekspos.

Alur Eksploitasi yang Ditemukan

Secara garis besar, proses eksploitasi berjalan seperti ini:

  1. Request
    Penyerang mengirim permintaan GET ke profil private dengan header mobile tertentu.

  2. Response
    Server Instagram mengembalikan HTML yang berisi data JSON tersembunyi.

  3. Extraction
    Objek polaris_timeline_connection diparsing untuk menemukan array edges.

  4. Access
    Media private diakses langsung melalui URL CDN yang tersedia.

Menariknya, bug ini tidak memengaruhi semua akun. Dari hasil pengujian, sekitar 28% akun uji terbukti rentan, sementara sisanya tetap aman. Hal ini mengindikasikan adanya kondisi backend tertentu atau kemungkinan state sesi yang tidak konsisten di infrastruktur Instagram.

Proses Bug Bounty yang Berujung Kontroversi

Banga mengajukan laporan awal ke program bug bounty Meta pada 12 Oktober 2025, lengkap dengan script Proof-of-Concept (PoC) dan bukti video. Namun, laporan tersebut sempat ditolak dengan alasan masalah caching CDN.

Setelah itu, Meta meminta contoh akun yang benar-benar rentan untuk verifikasi. Pada 14 Oktober, Banga menyerahkan akun pihak ketiga yang telah memberikan izin, dan eksploit berhasil direproduksi.

Menariknya, hanya dua hari kemudian, pada 16 Oktober, celah tersebut tiba-tiba tidak lagi berfungsi. Semua akun yang sebelumnya rentan mendadak aman, menandakan bahwa patch di sisi server sudah diterapkan.

Sayangnya, Meta tidak pernah menginformasikan adanya perbaikan tersebut secara resmi.

Laporan Ditutup Tanpa Penjelasan Teknis

Meski celah sudah tidak bisa dieksploitasi, Meta justru menutup laporan pada 27 Oktober dengan status “Not Applicable”, dengan alasan mereka “tidak dapat mereproduksi masalah”.

Saat dikonfrontasi mengenai kontradiksi ini—meminta akun rentan lalu memperbaikinya—tim keamanan Meta menyebut bahwa perbaikan tersebut mungkin hanya “efek samping tidak disengaja” dari perubahan infrastruktur lain.

Pernyataan ini menuai kritik karena tidak ada penjelasan akar masalah. Tanpa konfirmasi resmi soal penyebab utama celah tersebut, muncul kekhawatiran bahwa masalah serupa bisa kembali terjadi di masa depan.

Dibuka untuk Audit Publik

Sebagai langkah transparansi, Banga merilis analisis teknis lengkap, log jaringan, dan script PoC berbasis Python di GitHub. Tujuannya jelas: mengundang peneliti keamanan lain untuk melakukan audit independen dan memvalidasi temuan ini.

Menurutnya, bug yang hanya berdampak pada sebagian akun justru lebih berbahaya dibanding celah yang menyerang semua pengguna sekaligus.

“Bug bersifat kondisional yang hanya mengekspos sebagian akun jauh lebih berisiko. Mengabaikannya dengan alasan ‘perubahan infrastruktur’ jelas tidak membangun kepercayaan,” tulis Banga dalam laporannya.

Baca Juga : Data 17,5 Juta Akun Instagram Bocor, Informasi Sensitif Pengguna Terungkap

Kesimpulan

Kasus ini menjadi pengingat bahwa status private di media sosial tidak selalu menjamin keamanan penuh. Meski celah telah ditambal, minimnya transparansi dari pihak platform menimbulkan pertanyaan besar soal perlindungan data pengguna.

Bagi pengguna Instagram, langkah terbaik tetap sama: jaga informasi pribadi, batasi konten sensitif, dan selalu waspada, karena keamanan digital bukan hanya soal fitur, tapi juga bagaimana sistem di baliknya bekerja.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *