Access token itu bahaya!

__________________________________________________
Ok, First of all blog ini dibuat khas untuk memberitahu tentang bahayanya access_token kepada pengguna2 Facebook. Sila baca habis segala perkara2 dibawah ni(5 minit je hehe) dan tolong share kepada kawan2 kamu agar mereka 'aware' betape bahayanya kalau guna aplikasi secara sembarangan terutamanya kepada mereka yang suka sangat guna Autolike semata-mata nak dapat like banyak kat status mereka.
__________________________________________________



Apa itu Access Token ?
Access Token merupakan struktur data yang berisi informasi keamanan yang diperlukan oleh sebuah proses untuk mengakses objek (dalam hal ini akaun Facebook) atau proses lainnya yang memerlukan kebenaran pengguna.

Dari mana Access Token tercipta ?
Seperti yang kita ketahui bersama, Facebook memiliki ribuan bahkan mungkin jutaan apps (aplikasi) untuk menarik minat penggunanya. Dari setiap penggunaan apps tersebutlah Access Token tercipta. Setiap Access Token akan tersimpan pada server hosting pembuat aplikasi Facebook.

Kenapa Access Token berbahaya ?
Apabila Access Token akaun Facebook anda diketahui oleh orang yang tidak bertanggung jawab maka orang tersebut boleh mengupdatekan status Facebook anda, memposting link dan dapat pula memasukkan foto/gambar tanpa perlu melakukan login ke akaun Facebook anda. Mungkin diantara kita pernah mendengar beberapa kes pengguna Facebook berurusan dengan pihak polis akibat dari status Facebook-nya.

Bagaimana proses kerjanya ?
Di sini saya akan mempraktikkan proses kerjanya, (bukan mengajar). Dan di akhir penjelasan nanti akan dijelaskan bagaimana cara untuk menghindarinya. Baiklah, mari kita mula.


Pertama – Saya akan login ke akaun Facebook saya sendiri.

Sebelumnya, saya telah membuat sebuah aplikasi di Facebook. Dengan memanfaatkan kepakaran saya, saya memberikan link aplikasi Facebook itu kepada kawan saya(contoh). Link aplikasinya adalah http://apps.facebook.com/via_apa_saja/ (Aplikasi Update Status Facebook Via Apa Saja)

Kawan saya itu mempunyai rasa ingin tahu dan dia klik pada link itu dan menggunakan aplikasi Facebook tersebut.



Untuk lebih memastikan kawan saya itu sudah menggunakan aplikasi Facebook dari saya, saya akan login ke cpanel lalu menuju ke phpMyAdmin.



Dan ternyata dia telah menggunakan aplikasi Facebook saya itu. Yang ditandai kotak warna merah adalah access_token Facebook dia.

Mari kita cuba untuk mengupdatekan status Facebook dia dengan sedikit “url injection”
Injection url :
https://graph.facebook.com/ID-FACEBOOK/feed?method=POST&message=KALIMAT&access_token=ACCESS-TOKEN-DIA

Menjadi :
https://graph.facebook.com/100003787395136/feed?method=POST&message=Test update status online :lol:&access_token=AAAFc7v
0ZAmt0BABm1LZCTcYcwGdwhyXhR5xVv1Srfio5lVzykK8AKy40KkZA47M47c
NL98P9IPQgqaJHd7WP2ryOU9Xf3GTyxgixpQVPgZDZD

Untuk melihat hasilnya klik pada "url injection" di atas lalu buka wall profil Facebook dia.

Seterusnya kita cuba untuk memposting LINK ke akaun Facebook kawan saya itu.
Injection url :
https://graph.facebook.com/ID/feed?method=POST&link=URL&message=Apa2je&access_token=ACCESS-TOKEN-DIA

Menjadi :
https://graph.facebook.com/100003787395136/feed?method=POST&link=http://accesstoken.blogspot.com&message=TestpostingLINK&access_token=AAAFc7v0ZAmt0BABm1LZCTcYcwGdwhyXhR5xVv1Srfio5lV
zykK8AKy40KkZA47M47cNL98P9IPQgqaJHd7WP2ryOU9Xf3GTyxgixpQVPgZ
DZD

Yang terakhir, saya akan memasukkan sebuah gambar ke dalam akaun Facebook dia.
Injection url :
https://graph.facebook.com/photos?url=URL GAMBAR&method=POST&message=Ape2je&access_token=ACCESS-TOKEN-DIA

Menjadi :
https://graph.facebook.com/photos?url=http://www.cyber4rt.com/idsecconf2012/logo.png&method=POST&message=TEST UPLOAD GAMBAR&access_token=AAAFc7v0ZAmt0BABm1LZCTcYcwGdwhyXhR5xVv1Sr
fio5lVzykK8AKy40KkZA47M47cNL98P9IPQgqaJHd7WP2ryOU9Xf3GTyxgixp
QVPgZDZD



Bagaimana cara untuk menghindari penggunaan Access Token oleh orang yang tidak bertanggungjawab? 
Caranya cukup mudah iaitu:
Pergi ke Privacy Settings > Ads, Apps and websites.
Cari aplikasi Facebook yang mencurigakan, contohnya aplikasinya bernama ACCESS_TOKEN, klik edit pada aplikasi tersebut.
Disini ade beberapa option:
--> Klik pada 'remove app' dan applikasi itu akan dibuang/didelete daripada akaun anda.(Recommended)
--> Tengok pada "Post on your behalf:" dan pilih "Only Me".


Akhir kata dari saya, jangan guna aplication Facebook itu sembarangan. Gunakan aplikasi Facebook hanya dari sumber yang dipercayai. Sekian, terima kasih. Tolong share kepada kawan2 yang lain.


<---- Tolong Share.
P.S: Kalau ada pertanyaan sila hantar mesej ke minz96@facebook.com