Celakanya, fitur bantuan otomatis milik Meta justru disebut menjadi pintu masuk untuk membajak akun Instagram. Dalam laporan investigatif 404 Media, Meta AI Support Assistant yang dirancang untuk membantu pemulihan akun diduga bisa dipakai untuk mengubah alamat email target tanpa verifikasi identitas yang ketat.
Setelah email baru terhubung, peretas dapat mengirim kode verifikasi ke alamat yang mereka kuasai. Dari sana, tahap berikutnya hanya tinggal mereset kata sandi dan mengunci pemilik asli dari akun tersebut.
Modus yang terlihat sederhana
Dalam video yang beredar di Telegram, seorang hacker memperlihatkan proses pengambilalihan akun yang berlangsung cepat. Ia menarget akun bernilai tinggi, memakai VPN agar lokasi IP tampak sesuai dengan lokasi pemilik akun, lalu mengaku sebagai pemilik dan meminta bantuan mengganti email karena alasan lupa akses.
Masalah utama muncul karena sistem itu disebut memiliki kewenangan terlalu luas. Tidak ada pemeriksaan manusia yang memeriksa dokumen, nomor telepon, atau riwayat aktivitas sebelum perubahan sensitif dilakukan.
Akun premium jadi sasaran
Pelaku tidak memburu target secara acak. Mereka cenderung mengincar username satu karakter, nama umum pendek, serta akun terverifikasi dengan centang biru yang punya nilai jual tinggi di pasar gelap.
Sejumlah akun besar disebut ikut terdampak, termasuk @obamawhitehouse yang pernah mengunggah konten propaganda Iran, akun US Space Force, dan akun resmi Sephora. Peneliti keamanan siber Jane Manchun Wong juga mengaku menjadi korban setelah kata sandi akunnya berubah tanpa sepengetahuannya.
Wong mengatakan ia menerima puluhan permintaan reset sepanjang hari. Pengalaman itu memperkuat dugaan bahwa serangan ini tidak hanya menyasar akun biasa, tetapi juga akun yang sangat diminati peretas karena nilainya.
Respons Meta dan kritik yang mengiringi
Meta melalui juru bicaranya, Andy Stone, menyatakan masalah tersebut sudah diselesaikan. Stone juga mengatakan perusahaan sedang mengamankan akun-akun yang terdampak.
Namun, Meta tidak menjelaskan bagaimana celah itu bisa terjadi, berapa banyak akun yang terdampak, dan mekanisme verifikasi baru apa yang kini diterapkan. Di sisi lain, banyak korban disebut kesulitan menghubungi dukungan manusia karena layanan pelanggan sebagian besar sudah dialihkan ke AI.
Kondisi itu memicu kritik terhadap strategi Meta yang dinilai terlalu agresif mengganti staf dukungan manusia dengan sistem otomatis. Gergely Orosz, penulis The Pragmatic Engineer, menyebut ini bukan peretasan canggih, melainkan kegagalan desain sistemik akibat terlalu bergantung pada AI.
Laporan tambahan juga menyebut tim Trust & Safety Instagram mengalami PHK massal dalam restrukturisasi internal terbaru Meta. Sumber daya kemudian dialihkan ke proyek AI generatif, sehingga fungsi penting seperti verifikasi identitas dan penanganan insiden keamanan makin diserahkan ke algoritma.
Apa yang bisa dilakukan pengguna
Pengguna Instagram yang khawatir menjadi target disarankan mengaktifkan autentikasi dua faktor dengan aplikasi authenticator atau kunci keamanan fisik. SMS tidak disarankan karena nomor bisa di-porting.
Email pemulihan juga perlu dijaga ketat dengan 2FA aktif dan tidak dipakai untuk layanan publik. Pengguna sebaiknya rutin mengecek menu Pengaturan > Keamanan > Login Activity untuk melihat perangkat yang tidak dikenal.
Jika akun sudah diretas, jalur yang tersedia adalah help.instagram.com dengan opsi “My account was hacked”. Pengguna juga perlu waspada bila menerima notifikasi perubahan email atau kata sandi tanpa izin, karena respons cepat bisa menentukan peluang pemulihan akun.
Kasus ini menunjukkan bahwa fungsi keamanan yang menyentuh identitas digital tidak bisa hanya mengandalkan AI. Saat sistem otomatis diberi akses terlalu luas, efisiensi bisa berubah menjadi celah yang dimanfaatkan peretas dalam hitungan detik.