Instagram Data Dari Bocoran 2024 Muncul Kembali, Mendedahkan 17.5 Juta Akaun

Menurut notis keselamatan dari firma keselamatan siber Malwarebytes, data yang berkaitan dengan kira-kira 17.5 juta pengguna Instagram sedang beredar bebas di Breachforums selepas muncul semula pada awal Januari 2026, hasil tindakan pelaku ancaman yang menggunakan nama “Solonik.” Plot twist: ini bukanlah kebocoran yang baru. Data itu dikatakan berpunca daripada API Instagram yang salah dikonfigurasi pada akhir 2024 yang membenarkan pengambilan maklumat profil pengguna berskala besar, dengan diam-diam mengumpulkan maklumat terstruktur sebelum hilang—sehingga sekarang.

“Berhati-hatilah dengan e-mel dan mesej yang mendakwa datang dari Instagram, kerana mereka mungkin dihantar oleh penggodam jahat yang cuba menipu anda untuk melepaskan kata laluan anda,” jelas Malwarebytes dalam e-mel amaran yang diedarkan. “Jika anda bimbang, log masuk ke akaun Instagram anda dan tetapkan semula kata laluan anda kepada kata laluan yang baru, kuat dan unik.”

Dataset yang baru dipaparkan itu dikatakan merangkumi nama pengguna, e-mel, nombor telefon, alamat fizikal, dan metadata akaun, menjadikannya umpama madu kepada penipu dan pencuri identiti. Setakat 10 Jan, Meta belum mengeluarkan kenyataan awam, manakala laporan mengenai e-mel penetapan semula kata laluan tanpa diminta telah meningkat. Data lama, kerosakan baru—kerana internet tidak pernah lupa, begitu juga penjenayah siber. Apa yang menjadikan kebocoran ini sangat menjengkelkan adalah bagaimana ia digunakan.

Penyerang tidak menghantar e-mel tipu muslihat yang jelas; sebaliknya, mereka mencetuskan mesej tetapan semula kata laluan Instagram yang sah dari domain keselamatan sebenar platform, memanfaatkan kekeliruan untuk melakukan kerja kotor. Dengan butiran peribadi yang mencukupi, pelaku jahat boleh meningkatkan dari phishing kepada malah penukaran SIM dan penipuan yang disasarkan, terutamanya bagi pengguna yang menggunakan kembali kata laluan di beberapa laman web.

Malwarebytes memantau kebocoran tersebut semasa pemantauan web gelap rutin, menunjukkan bagaimana data yang kitar semula masih boleh mencetuskan serangan yang sangat terkini. Walaupun pendedahan tersebut nampaknya bersifat global—dengan kesan yang disahkan di beberapa bahagian di Eropah—profil risiko adalah sejagat: pengambilalihan akaun, penipuan kewangan, dan peringatan baru bahawa data yang diambil secara sembarangan tidak menua seperti wain, tetapi seperti susu. Penyelesaiannya mungkin tidak glamor tetapi berkesan: kata laluan yang lebih kuat, pengesahan dua faktor, dan kecurigaan yang sihat terhadap mana-mana e-mel “segera” yang menuntut klik.

Soalan Lazim 🔒

• Adakah ini penggodaman Instagram baru?
  Tidak, data tersebut dikatakan berasal dari isu scraping API 2024 dan hanya muncul semula secara umum pada Januari 2026.
• Apakah maklumat yang terdedah?
  Nama pengguna, e-mel, nombor telefon, sebahagian atau keseluruhan alamat, dan metadata akaun termasuk.
• Mengapa pengguna mendapat e-mel tetapan semula kata laluan sebenar?
  Penyerang menyalahgunakan sistem tetapan semula Instagram yang sah untuk membuat cubaan phishing kelihatan sahih.
• Apa yang perlu dilakukan oleh pengguna yang terjejas sekarang?
  Tukar kata laluan dengan segera, benarkan pengesahan dua faktor, dan pantau akaun untuk sebarang aktiviti mencurigakan.