Fitur bantuan otomatis Meta AI yang semestinya membantu pemulihan akun justru disebut membuka jalan baru bagi hacker untuk membajak Instagram. Celah ini menjadi perhatian karena menyentuh sistem keamanan inti yang dipakai saat pengguna kehilangan akses.
Modusnya terlihat sederhana, tetapi dampaknya besar. Dengan memanfaatkan kewenangan yang terlalu luas pada Meta AI Support Assistant, peretas bisa mengganti alamat email akun target, lalu menerima kode verifikasi di email baru yang mereka kuasai.
Serangan berlangsung cepat tanpa pemeriksaan manusia
Dalam video yang beredar di Telegram, seorang hacker memperlihatkan proses pengambilalihan akun yang berjalan singkat. Setelah email baru terhubung, peretas tinggal mereset kata sandi dan mengunci pemilik asli dari akun tersebut.
Investigasi 404 Media menyebut sistem itu bisa mengubah informasi sensitif akun tanpa verifikasi identitas yang ketat. Artinya, perubahan penting dapat terjadi tanpa pemeriksaan dokumen, nomor telepon, atau riwayat aktivitas oleh petugas manusia.
Akun bernilai tinggi jadi sasaran
Pelaku tidak menarget akun secara acak. Mereka memburu akun premium seperti username satu karakter, nama umum pendek, dan akun terverifikasi dengan centang biru.
Beberapa akun besar disebut ikut terdampak, termasuk @obamawhitehouse yang pernah mengunggah konten propaganda Iran, akun US Space Force, dan akun resmi Sephora. Peneliti keamanan siber Jane Manchun Wong juga mengaku menjadi korban setelah kata sandi akunnya berubah tanpa sepengetahuannya.
Wong mengatakan ia menerima puluhan permintaan reset sepanjang hari. Pola itu memperkuat dugaan bahwa serangan ini menyasar akun yang punya nilai jual tinggi di pasar gelap, bukan sekadar akun biasa.
Cara peretas memanfaatkan sistem
Skema yang dipakai terbilang rapi. Hacker menarget akun bernilai tinggi, memakai VPN agar lokasi IP tampak sesuai dengan lokasi pemilik akun, lalu mengaku sebagai pemilik dan meminta bantuan mengganti email karena alasan lupa akses.
Setelah chatbot mengirim kode ke email baru milik peretas, tahap berikutnya tinggal mereset kata sandi. Dalam proses itu, tidak ada intervensi manusia yang memeriksa ulang identitas sebelum perubahan dilakukan.
Respons Meta dan kritik yang muncul
Meta melalui juru bicaranya, Andy Stone, menyatakan masalah tersebut sudah diselesaikan. Stone juga mengatakan perusahaan sedang mengamankan akun-akun yang terdampak.
Namun, Meta tidak menjelaskan bagaimana celah itu bisa terjadi, berapa banyak akun yang terdampak, dan mekanisme verifikasi baru apa yang kini diterapkan. Di sisi lain, banyak korban disebut kesulitan menghubungi dukungan manusia karena layanan pelanggan sebagian besar sudah dialihkan ke AI.
Kondisi itu memicu kritik terhadap strategi Meta yang dinilai terlalu agresif mengganti staf dukungan manusia dengan sistem otomatis. Gergely Orosz, penulis The Pragmatic Engineer, menyebut ini bukan peretasan canggih, melainkan kegagalan desain sistemik akibat terlalu bergantung pada AI.
Laporan tambahan juga menyebut tim Trust & Safety Instagram mengalami PHK massal dalam restrukturisasi internal terbaru Meta. Sumber daya kemudian dialihkan ke proyek AI generatif, sehingga fungsi penting seperti verifikasi identitas dan penanganan insiden keamanan makin diserahkan ke algoritma.
Langkah yang disarankan untuk pengguna
Pengguna Instagram yang khawatir menjadi target disarankan mengaktifkan autentikasi dua faktor dengan aplikasi authenticator atau kunci keamanan fisik. SMS tidak disarankan karena nomor bisa di-porting.
Email pemulihan juga perlu dijaga ketat dengan 2FA aktif dan tidak dipakai untuk layanan publik. Pengguna sebaiknya rutin mengecek menu Pengaturan > Keamanan > Login Activity untuk melihat perangkat yang tidak dikenal.
Jika akun sudah diretas, jalur yang tersedia adalah help.instagram.com dengan opsi “My account was hacked”. Pengguna juga perlu waspada bila menerima notifikasi perubahan email atau kata sandi tanpa izin, karena respons cepat bisa menentukan peluang pemulihan akun.
Kasus ini menunjukkan bahwa fungsi keamanan yang menyentuh identitas digital tidak bisa hanya mengandalkan AI. Saat sistem otomatis diberi akses terlalu luas, efisiensi justru bisa berubah menjadi celah yang dimanfaatkan peretas dalam hitungan detik.