Peneliti Ungkap Bukti Kebocoran Foto pada Profil Instagram Pribadi

Liputan6.com, Jakarta - Seorang peneliti keamanan mengungkap dugaan celah pada sistem privasi Instagram yang berpotensi membuka akses ke konten akun pribadi.

Dalam laporannya, peneliti menemukan bahwa sejumlah profil pribadi masih mengembalikan tautan foto pengguna yang tidak diautentikasi.

Padahal, fitur akun pribadi Instagram dirancang khusus untuk membatasi akses foto, video, stories dan reels hanya kepada pengguna yang telah disetujui sebagai pengikut (follower). Dengan fitur tersebut konten seharusnya tidak dapat dilihat oleh pihak di luar daftar pengikut akun terkait.

Dilansir Bleeping Computer, Senin (2/2/2026), baru-baru ini temuan menunjukkan bahwa dalam kondisi tertentu, konten dari profil pribadi justru ikut tersemat dalam respons server Instagram.

Respons ini diketahui dapat diakses secara publik, sehingga memungkinkan pihak yang tidak memiliki izin tetap memperoleh informasi berupa tautan pengguna.

Peneliti tersebut mengaku telah menyampaikan laporan lengkap beserta bukti teknis kepada Meta, perusahaan induk Instagram.

Menurutnya, Meta sempat melakukan perbaikan terhadap masalah yang dilaporkan. Meski demikian, laporan tersebut kemudian ditutup dengan status “tidak berlaku.”

Meta berasalan bahwa kerentanan yang dilaporkan tidak dapat direproduksi kembali dalam pengujian internal mereka. Hingga saat ini, belum ada penjelasan lebih lanjut mengenai temuan tersebut berdampak luas terhadap pengguna Instagram atau hanya terjadi pada kasus-kasus tertentu.

Peneliti keamanan Jatin Banga mengungkap dugaan kebocoran data pada sejumlah akun pribadi Instagram. Ia menemukan bahwa tautan ke foto-foto pribadi masih tersimpan di dalam respons HTML halaman profil.

Meski akun pribadi menampilkan pesan bahwa konten hanya bisa dilihat oleh pengikut, kode sumber halaman pada kasus tertentu tetap memuat tautan foto dan keterangan yang seharusnya tidak dapat diakses publik.

Temuan ini dibuktikan memalui video bukti konsep (PoC). Dari pengujian terbatas, sekitar 28% akun uji diketahui masih mengembalikan dan keterangan foto pribadi. Temuan ini kembali menyoroti sistem perlindungan privasi Instagram.

Jatin Banga menyatakan telah melaporkan temuan celah keamanan tersebut kepada Meta sejak 12 Oktober 2025. Saat itu, Meta mengkalsifikasikan masalah ini sebagai isu caching CDN.

Namun, Banga membantah penilaian tersebut. Ia menegaskan bahwa masalah bukan berasal dari sistem caching, melainkan kegagalan sistem Instagram dalam memeriksa izin akses sebelum mengirimkan respons dari server.

Banga kemudian mengajukan laporan bug kedua untuk memperjelas temuannya. Meski sempat terjadi diskusi selama beberapa hari, ia mengaku tidak mendapatkan solusi yang memuaskan. Setelah beberapa kali pertukaran informasi, laporan tersebut akhirnya ditutup dengan status “tidak berlaku.”

Meski demikian, menurut Banga, celah keamanan tersebut berhenti berfungsi sekitar 16 Oktober 2025. Ia mengklaim telah memberi Meta waktu lebih dari 90 hari untuk melakukan perbaikan, meski tanpa adanya konfirmasi resmi terkait penyebab utama masalah.

Untuk mendukung temuannya, Banga membagikan dokumentasi dan bukti teknis, termasuk kepada media teknologi. Ia juga menjelaskan bahwa bug tersebut tidak dapat diarsipkan menggunakan layanan publik karena membutuhkan pengaturan perangkat dan header khusus untuk memicu kebocoran data.