Jutaan pengguna Instagram di seluruh dunia dilaporkan menerima e-mel penetapan semula kata laluan (password reset) secara tiba-tiba walaupun tidak memohonnya.
Fenomena yang membimbangkan ini berlaku serentak dengan laporan kebocoran data besar-besaran yang didakwa mendedahkan maklumat peribadi kira-kira 17.5 juta akaun pengguna.
Situasi ini menimbulkan kegusaran dalam kalangan komuniti keselamatan siber bahawa data yang tertiris sedang dieksploitasi secara aktif oleh penjenayah siber.
Laporan daripada firma keselamatan, Malwarebytes, mengaitkan gelombang e-mel ini dengan pangkalan data yang kini dipercayai sedang beredar di laman web gelap.
E-mel tersebut, yang dihantar daripada alamat rasmi security@mail.instagram.com, kelihatan sah namun sebenarnya dicetuskan oleh pihak ketiga yang mempunyai akses kepada nama pengguna atau alamat e-mel mangsa.
Taktik ini dikenali sebagai ‘account enumeration’ atau percubaan memancing data, di mana penjenayah menggunakan sistem rasmi Instagram untuk mengesahkan akaun yang aktif atau mencetuskan panik supaya pengguna menekan pautan yang disediakan.
Menurut Malwarebytes, pendedahan data ini merangkumi nama pengguna, alamat e-mel, dan nombor telefon. Ia membolehkan penjenayah membuat permintaan set semula kata laluan kepada sejumlah pengguna. Strategi tersebut digunakan sebagai gangguan atau percubaan pengambilalihan akaun.
Walaupun Meta (syarikat induk Instagram) belum mengeluarkan kenyataan teknikal terperinci mengenai punca spesifik insiden ini, pakar keselamatan menasihatkan pengguna supaya berwaspada terhadap sebarang komunikasi yang mendesak.
Langkah-langkah keselamatan
Langkah-langkah pencegahan utama yang disarankan adalah:
- Jangan Klik Pautan: Abaikan e-mel tersebut jika anda tidak memohon penukaran kata laluan.
- Semak di Aplikasi: Jika ragu-ragu, log masuk terus ke aplikasi Instagram dan semak bahagian ‘Security’ untuk sebarang notifikasi rasmi.
- Aktifkan 2FA: Gunakan pengesahan dua faktor (2FA) berasaskan aplikasi (seperti Google Authenticator) dan elakkan penggunaan SMS kerana risiko serangan SIM swapping.
Pengguna dinasihatkan untuk tidak panik dan sentiasa mengesahkan sebarang permintaan keselamatan melalui saluran rasmi di dalam aplikasi sahaja, bukannya melalui pautan e-mel.
Pihak berkuasa dan pakar-pakar keselamatan siber sedang memantau situasi ini. Penelitian lanjut juga dilakukan bagi melihat jika terdapat peningkatan dalam kes kecurian identiti susulan kebocoran data tersebut.
