Celah pada sistem dukungan berbasis AI milik Meta dilaporkan membuka akses ke lebih dari 34.000 akun Instagram. Insiden ini menonjol karena serangan tidak mengandalkan pencurian kata sandi, phishing, atau malware, melainkan memanfaatkan alur pemulihan akun yang diotomatisasi.
Dampaknya juga tidak kecil. Sekitar 20.000 akun disebut berhasil dikompromikan, dengan data pribadi seperti alamat email, nomor telepon, dan tanggal lahir ikut terekspos, sementara ribuan akun lain mengalami perubahan nama pengguna atau sempat kehilangan kendali atas profil mereka.
Menurut laporan The New York Times yang dikutip Android Authority, pelaku menipu chatbot AI agar mengubah email pemulihan akun. Setelah email pemulihan berganti, pelaku dapat mereset kata sandi dan mengambil alih akun.
Kasus ini memperlihatkan masalah yang berbeda dari peretasan akun pada umumnya. Titik lemahnya bukan pada model AI yang bertindak sendiri, melainkan pada sistem verifikasi di sekelilingnya yang dinilai tidak cukup kuat untuk mencegah penyalahgunaan.
Bukan model AI, melainkan proses di sekitarnya
Meta dilaporkan menilai akar masalah tidak berada pada model AI itu sendiri. Perusahaan menyebut kelemahan utama ada pada mekanisme verifikasi yang mengiringi proses pemulihan akun tersebut.
Pembedaan ini penting karena chatbot itu tidak secara mandiri memutuskan menyerahkan akun kepada pihak lain. Chatbot bekerja di dalam alur dukungan yang tampaknya memiliki pengaman yang kurang memadai, sehingga bisa dimanipulasi untuk menjalankan tindakan yang seharusnya tidak diizinkan.
Serangan semacam ini juga menunjukkan bagaimana otomatisasi dapat memperbesar skala risiko. Jika satu kesalahan verifikasi bisa diulang secara otomatis terus-menerus, dampaknya dapat menjalar ke ribuan pengguna sebelum terdeteksi.
Dalam konteks layanan pelanggan, AI memang semakin sering diberi tugas yang sebelumnya dikerjakan agen manusia. Mulai dari reset kata sandi sampai verifikasi identitas, proses yang dibuat lebih cepat dan mudah itu sekaligus menghadirkan risiko baru ketika lapisan keamanan tidak berkembang secepat tingkat otomatisasinya.
Akun bisnis hingga organisasi terkait pemerintah ikut terdampak
Korban insiden ini tidak terbatas pada pengguna biasa. Sejumlah akun dengan profil tinggi disebut ikut terdampak, termasuk akun bisnis, figur publik, dan organisasi yang terkait dengan pemerintah.
Beberapa profil yang dibajak bahkan sempat dipakai untuk menerbitkan unggahan tanpa izin. Akses kemudian dipulihkan setelah Meta turun tangan.
Rangkaian kejadian itu memperlihatkan bahwa dampak kebocoran tidak berhenti pada data pribadi. Ketika akun yang memiliki audiens besar atau fungsi institusional diambil alih, konsekuensinya bisa meluas ke reputasi, komunikasi publik, dan kepercayaan pengguna.
Meta meninjau insiden, tetapi tidak menghentikan dorongan AI yang lebih luas
Meta menyatakan sedang melakukan tinjauan menyeluruh untuk mengidentifikasi dan menangani persoalan keamanan tambahan. Perusahaan juga disebut memberi tahu pengguna yang terdampak serta regulator.
Namun langkah penghentian yang diambil tampak terbatas. Dokumen internal yang dikutip The New York Times menyebut Meta hanya menghentikan eksperimen pemulihan kata sandi Instagram yang terkait langsung dengan insiden ini.
Sementara itu, dorongan perusahaan terhadap inisiatif dukungan pelanggan berbasis AI yang lebih luas tetap berjalan. Artinya, kebocoran yang berdampak pada puluhan ribu akun belum membuat Meta memperlambat agenda AI-nya secara keseluruhan.
Dokumen yang sama juga menunjukkan bahwa para karyawan sudah mendiskusikan cara menangani insiden serupa ke depan. Ini memberi sinyal bahwa perusahaan melihat kegagalan semacam ini sebagai masalah operasional yang harus diperbaiki sambil jalan, bukan alasan untuk menghentikan peluncuran sistem AI.
Peringatan bagi industri teknologi
Kasus ini menambah daftar kekhawatiran terhadap penggunaan AI dalam dukungan pelanggan. Masalah terbesar bukan selalu berasal dari model AI yang “berpikir” salah, tetapi dari keputusan perusahaan untuk menempatkan AI dalam proses sensitif tanpa pagar pengaman yang cukup.
Pada sistem manual, kesalahan agen dukungan bisa berdampak pada satu atau beberapa akun. Pada sistem otomatis, kesalahan yang sama dapat direplikasi terus-menerus oleh siapa pun yang menemukan cara memancing respons yang salah dari sistem.
Itu sebabnya insiden di Instagram menjadi sorotan lebih luas daripada sekadar gangguan layanan biasa. Peristiwa ini memperlihatkan bagaimana celah kecil dalam verifikasi dapat berubah menjadi jalur pembajakan massal ketika digabungkan dengan otomatisasi berbasis AI.
Untuk saat ini, Meta masih memfokuskan respons pada penanganan dampak dan peninjauan internal. Di sisi lain, keputusan untuk tetap melanjutkan agenda AI yang lebih besar membuat insiden ini kemungkinan akan terus dipantau sebagai ujian penting atas seberapa aman otomatisasi dukungan pelanggan diterapkan di platform besar seperti Instagram.
