Celah keamanan yang memungkinkan pembajakan akun Instagram melalui Meta AI dilaporkan masih dapat dieksploitasi meskipun Meta telah mengklaim melakukan perbaikan. Menurut laporan Android Authority (3 Juni 2026), tambalan yang diterapkan Meta belum menyentuh sisi backend, sehingga pengguna yang telah mengaktifkan autentikasi dua faktor (2FA) sekalipun tetap berisiko menjadi korban.
Kronologi Pembajakan Melalui Meta AI
Android Authority melaporkan bahwa peretas berhasil mengelabui Meta AI untuk mendapatkan akses ke akun Instagram bernilai tinggi. Modus utamanya cukup mencengangkan — pelaku cukup "meminta" chatbot Meta AI untuk mengubah alamat email yang terhubung dengan akun korban, tanpa melalui verifikasi identitas independen.
Gelombang pembajakan terkonsentrasi pada Jumat, 29 Mei 2026. Meta dilaporkan langsung merilis hotfix darurat pada sore harinya dengan menonaktifkan alur AI yang memiliki kewenangan menautkan email. Namun menurut klaim para pelaku yang dikutip Android Authority, "Meta hanya menghapus tombol di antarmuka pengguna, sementara celah di sisi backend tetap terbuka."
| Aspek | Yang Dilaporkan |
|---|---|
| Lokasi celah | Alur Meta AI yang berkaitan dengan pengambilalihan akun Instagram |
| Tindakan Meta | Penghapusan tombol UI (menurut klaim pelaku) |
| Risiko tersisa | Sisi backend disebut belum diamankan |
| Status saat ini | Pembajakan dilaporkan masih berlangsung |
Perlu dicatat, klaim bahwa "backend belum ditambal" berasal dari pernyataan pihak pelaku yang dikutip media, bukan pernyataan resmi Meta.
Akun Korban dan Pasar Gelap "OG Handle"
Daftar korban yang teridentifikasi cukup mencengangkan. Di antaranya adalah handle dorman @obamawhitehouse, halaman resmi Chief Master Sergeant US Space Force, merek kosmetik global Sephora, peneliti keamanan Jane Manchun Wong, serta handle @albert milik developer Albert Renshaw.
Username pendek yang hanya terdiri dari beberapa karakter atau kata umum — dikenal di kalangan komunitas sebagai "OG handle" — diperdagangkan di pasar gelap dengan harga enam digit dolar AS. Sebagai gambaran, satu handle premium bisa bernilai mulai US$100.000 (sekitar Rp 1,6 miliar) hingga jauh di atasnya. Android Authority menyebut total nilai pasar dari handle-handle yang berhasil dibajak dalam insiden ini ditaksir lebih dari US$500.000 (sekitar Rp 8,1 miliar), dengan dugaan keterlibatan kelompok peretas pro-Iran.
Akar Masalah: Kegagalan Otorisasi, Bukan Prompt Injection
Perusahaan keamanan siber Check Point dalam analisisnya menegaskan bahwa insiden ini bukan kasus prompt injection biasa, melainkan kegagalan otorisasi (authorization failure). Masalah fundamentalnya terletak pada desain — sebuah chatbot dukungan pelanggan diberi kewenangan untuk menjalankan operasi sensitif seperti mengubah alamat email atau mereset kata sandi, tanpa lapisan verifikasi identitas yang independen dari alur AI itu sendiri.
Para pakar merekomendasikan pendekatan staged authority, yaitu memberikan kewenangan kepada AI agent secara berlapis, bukan sekaligus penuh. Selain itu, perlu ada gerbang persetujuan (approval gate) dan tombol darurat (kill switch) yang berada di luar kendali prompt AI, serta pembatasan otomatisasi pada alur sensitif seperti pemulihan akun. Tren menyerahkan keputusan pemulihan akun kepada AI dinilai justru menciptakan risiko struktural baru.
Langkah Pengamanan untuk Pengguna di Indonesia
Bagi pengguna Instagram di Indonesia, yang menurut data terbaru merupakan salah satu basis pengguna terbesar Meta di Asia Tenggara, situasi ini patut diwaspadai. Selama celah dilaporkan masih dapat dieksploitasi, mengandalkan 2FA saja tidak cukup. Berikut langkah konkret yang dapat Anda lakukan sekarang:
- Perkuat password email yang terhubung dengan Instagram. Gunakan kombinasi unik yang tidak dipakai di layanan lain (terutama Gmail, Yahoo, atau email lokal seperti @kompasmania).
- Aktifkan notifikasi login dan perubahan email agar Anda dapat segera bertindak jika ada aktivitas mencurigakan.
- Jangan abaikan email peringatan dari Instagram yang menyebut perubahan alamat email atau perangkat baru, sekalipun terlihat seperti spam.
- Pelajari alur pemulihan akun resmi Instagram lebih awal — jika akun sudah dibajak, kecepatan respons menjadi krusial.
Hingga Meta mengonfirmasi perbaikan penuh di sisi backend atau pihak ketiga melakukan verifikasi independen, status keamanan layanan ini sebaiknya dianggap belum tuntas. Konsumen Indonesia yang menggunakan Instagram untuk bisnis — termasuk pelaku UMKM, content creator, dan toko online — disarankan untuk menyiapkan rencana cadangan komunikasi pelanggan, misalnya melalui WhatsApp Business atau Shopee/Tokopedia, sebagai mitigasi sementara.
Sumber
- Android Authority — Instagram accounts continue to be hacked as hackers claim Meta only removed a UI button
- 404 Media — Hackers Simply Asked Meta AI to Give Them Access to High-Profile Instagram Accounts. It Worked
- Check Point Blog — The Meta AI Account Recovery Incident Wasn't Just a Chatbot Problem
