Sekarang resmi, Instagram telah mengalami pelanggaran data yang sangat besar, dan dilaporkan seorang hacker yang tidak dikenal telah mencuri data pribadi lebih dari 6 juta akun Instagram. Baru kemarin, kami melaporkan bahwa Instagram telah memperbaiki kerentanan API kritis yang memungkinkan penyerang mengakses nomor telepon dan alamat email untuk akun high-profile.
Tidak hanya beberapa ribu pengguna high-profile – ini lebih dari 6 juta pengguna Instagram, termasuk politisi, bintang olahraga, dan perusahaan media, yang memiliki informasi profil Instagram mereka, termasuk alamat email dan nomor telepon, tersedia untuk dijual di situs web yang disebut Doxagram.
Hacker Instagram yang berhasil mengeksploitasi kerentanan API Instagram telah meluncurkan Doxagram, layanan pencarian Instagram, di mana setiap orang dapat mencari informasi curian hanya seharga $10 per akun.
Seorang peneliti keamanan dari Kaspersky Labs, yang juga menemukan kerentanan yang sama dan melaporkannya ke Instagram, mengatakan kepada kami bahwa masalah tersebut benar-benar berada di API mobile Instagram, khususnya opsi setel ulang kata sandi, yang tampaknya memperlihatkan nomor ponsel dan alamat email dari pengguna dalam respon JSON – tapi bukan password.
Reported the #instagram mobile API "bug" in password reset, before publication, to #Facebook. pic.twitter.com/BKyvb42wVT
— האקר סטנדרטי (@IdoNaor1) September 1, 2017
Instagram belum mengkonfirmasi klaim si hacker, namun perusahaan tersebut mengatakan bahwa pihaknya sedang menyelidiki pelanggaran data tersebut.
Perusahaan telah memberitahukan semua pengguna terverifikasi mengenai masalah ini melalui email dan juga mendorong mereka untuk berhati-hati jika mereka menerima panggilan telepon, SMS, atau email yang mencurigakan atau tidak dikenal.
Dengan alamat email dan nomor telepon di tangan, langkah selanjutnya si hacker dapat menggunakannya sebagai informasi yang dicuri beriringan dengan teknik social engineering untuk mendapatkan akses ke akun Instagram high-profile.
Pengguna Instagram juga sangat disarankan untuk mengaktifkan autentikasi dua faktor di akun mereka dan selalu memastikannya dengan password yang kuat dan berbeda.
Selain itu, hindari mengklik tautan atau lampiran mencurigakan yang diterima melalui email dan jangan memberikan informasi pribadi atau keuanga tanpa memverifikasi sumbernya dengan benar.
