Lebih dari 34.000 akun Instagram dilaporkan terekspos lewat celah pada sistem dukungan berbasis AI milik Meta. Insiden ini mengganggu karena serangan tidak dimulai dari pencurian kata sandi, phishing, atau malware, melainkan dari alur pemulihan akun yang diotomatisasi.
Dampaknya tidak kecil. Sekitar 20.000 akun disebut berhasil dikompromikan, sementara data pribadi seperti alamat email, nomor telepon, dan tanggal lahir ikut terekspos.
Serangan memanfaatkan verifikasi yang lemah
Menurut laporan The New York Times yang dikutip Android Authority, pelaku menipu chatbot AI agar mengubah email pemulihan akun. Setelah email pemulihan berganti, pelaku bisa mereset kata sandi dan mengambil alih akun.
Kasus ini menegaskan bahwa titik lemah utama bukan pada model AI yang bekerja sendiri. Masalahnya ada pada sistem verifikasi di sekeliling proses dukungan yang dinilai belum cukup kuat menahan penyalahgunaan.
Otomatisasi membuat risiko itu ikut membesar. Jika satu celah verifikasi bisa dipakai berulang-ulang, dampaknya dapat menyebar ke ribuan pengguna sebelum terdeteksi.
Akun bisnis dan organisasi ikut kena dampak
Korban insiden ini tidak hanya pengguna biasa. Sejumlah akun dengan profil tinggi juga terdampak, termasuk akun bisnis, figur publik, dan organisasi yang terkait dengan pemerintah.
Beberapa profil yang dibajak sempat dipakai untuk menerbitkan unggahan tanpa izin. Akses kemudian dipulihkan setelah Meta turun tangan.
Rangkaian kejadian itu menunjukkan bahwa dampaknya tidak berhenti pada kebocoran data pribadi. Saat akun dengan audiens besar atau fungsi institusional diambil alih, risiko juga menyentuh reputasi, komunikasi publik, dan kepercayaan pengguna.
Meta meninjau insiden, tapi agenda AI tetap jalan
Meta menyatakan sedang meninjau insiden secara menyeluruh untuk mengidentifikasi dan menangani persoalan keamanan tambahan. Perusahaan juga disebut memberi tahu pengguna yang terdampak serta regulator.
Namun langkah penghentian yang diambil tampak terbatas. Dokumen internal yang dikutip The New York Times menyebut Meta hanya menghentikan eksperimen pemulihan kata sandi Instagram yang terkait langsung dengan insiden ini.
Sementara itu, dorongan perusahaan terhadap inisiatif dukungan pelanggan berbasis AI yang lebih luas tetap berjalan. Dokumen yang sama juga menunjukkan bahwa karyawan sudah membahas cara menangani insiden serupa ke depan.
Artinya, kebocoran yang berdampak pada puluhan ribu akun belum membuat Meta memperlambat agenda AI-nya secara keseluruhan. Insiden ini justru menjadi ujian penting bagi keamanan otomatisasi dukungan pelanggan di platform besar seperti Instagram.
Kasus ini juga menambah kekhawatiran di industri teknologi tentang penggunaan AI dalam layanan pelanggan. Masalah terbesar ternyata bukan selalu model AI yang salah menjawab, melainkan keputusan menempatkannya di proses sensitif tanpa pagar pengaman yang cukup kuat.
Pada sistem manual, kesalahan agen dukungan bisa berdampak pada satu atau beberapa akun. Pada sistem otomatis, kesalahan yang sama bisa direplikasi terus-menerus oleh siapa pun yang menemukan cara memancing respons yang keliru dari sistem.
Itulah mengapa insiden ini dipandang lebih serius daripada gangguan layanan biasa. Celah kecil dalam verifikasi bisa berubah menjadi jalur pembajakan massal saat digabungkan dengan otomatisasi berbasis AI.
