Lebih dari 34.000 akun Instagram dilaporkan terekspos akibat celah pada sistem dukungan berbasis AI milik Meta. Insiden ini menjadi sorotan karena pelaku tidak memakai pencurian kata sandi, phishing, atau malware, melainkan memanfaatkan alur pemulihan akun yang diotomatisasi.
Dari jumlah itu, sekitar 20.000 akun disebut berhasil dikompromikan. Data pribadi seperti alamat email, nomor telepon, dan tanggal lahir ikut terekspos, sementara ribuan akun lain sempat kehilangan kendali atas profilnya atau mengalami perubahan nama pengguna.
Serangan menargetkan proses pemulihan akun
Menurut laporan The New York Times yang dikutip Android Authority, pelaku menipu chatbot AI agar mengubah email pemulihan akun. Setelah alamat pemulihan diganti, pelaku dapat mereset kata sandi dan mengambil alih akun.
Pola serangan ini memperlihatkan bahwa titik lemah tidak berada pada model AI yang bekerja sendiri, melainkan pada proses verifikasi di sekelilingnya. Meta disebut menilai akar masalah ada pada mekanisme pengamanan yang mengiringi pemulihan akun tersebut.
Dampaknya meluas ke akun bisnis dan organisasi publik
Korban insiden ini tidak hanya pengguna biasa. Sejumlah akun dengan profil tinggi ikut terdampak, termasuk akun bisnis, figur publik, dan organisasi yang terkait dengan pemerintah.
Beberapa profil yang dibajak bahkan sempat digunakan untuk menerbitkan unggahan tanpa izin. Akses kemudian dipulihkan setelah Meta turun tangan, tetapi kejadian itu menunjukkan bahwa dampaknya bisa meluas ke reputasi dan komunikasi publik.
Meta masih melanjutkan agenda AI yang lebih luas
Meta menyatakan sedang melakukan tinjauan menyeluruh untuk menemukan dan menangani persoalan keamanan tambahan. Perusahaan juga disebut memberi tahu pengguna yang terdampak serta regulator.
Meski begitu, langkah penghentian yang diambil tampak terbatas. Dokumen internal yang dikutip The New York Times menyebut Meta hanya menghentikan eksperimen pemulihan kata sandi Instagram yang terkait langsung dengan insiden ini.
Sementara itu, dorongan perusahaan terhadap inisiatif dukungan pelanggan berbasis AI yang lebih luas tetap berjalan. Dokumen yang sama juga menunjukkan para karyawan sudah membahas cara menangani insiden serupa ke depan.
Peringatan untuk industri teknologi
Kasus ini menambah kekhawatiran terhadap penggunaan AI dalam layanan pelanggan, terutama saat proses yang sensitif diberi otomatisasi tanpa pagar pengaman yang memadai. Pada sistem manual, kesalahan agen bisa berdampak terbatas, tetapi pada sistem otomatis, kesalahan yang sama dapat direplikasi berkali-kali.
Itulah sebabnya kebocoran di Instagram ini dipandang lebih dari sekadar gangguan layanan biasa. Celah kecil dalam verifikasi dapat berubah menjadi jalur pembajakan massal ketika digabungkan dengan otomatisasi berbasis AI, dan Meta kini masih berfokus pada penanganan dampak serta peninjauan internal.
Di sisi lain, keputusan untuk tetap menjalankan agenda AI yang lebih besar membuat insiden ini kemungkinan terus diawasi sebagai ujian penting bagi keamanan otomatisasi dukungan pelanggan di platform sebesar Instagram.
