มาลองเป็น Facebook Hacker (กันเถอะ) !!
ช่วงนี้พอมีเวลาว่างเลยได้มีโอกาสแวะมาเขียนบ่อยๆ ในบทความนี้น่ะครับ จะสอนมา Hack Facbook แต่ติดตรงที่ผมสายสว่างฮะ ทำไงดี 555555 (แล้วเมิงจะเขียนจั่วหัวแบบนี้เพื่อ?? เอาแล้ว ดราม่าแน่ๆ) ตามจริงก็ชั่งใจอยู่นานครับว่าจะเขียนดีหรือเปล่า กำลังคิดอยู่ว่าสิ่งที่เขียน ตกลงว่ามันเป็น สิ่งจำเป็น หรือจะเป็น ดาบสองคม ชี้โพรงให้กระรอกกันแน่ ที่สุดท้ายก็เขียน เพราะผมเชื่อว่าถ้าใครอยากจะทำมันก็ต้องหาข้อมูลจนทำได้นั่นแหล่ะครับ ไม่ต้องมารอผมเขียนหลอก จึงคิดว่าที่เขียนเลยเป็นสิ่งที่จำเป็นต้องรู้และให้ระวังตัวไว้ดีกว่าครับ
เริ่มแรกครับ เราต้องมารู้จักสองตัวนี้กันก่อ คือ Token และ Graph API ว่ามันคืออะไรและแต่ล่ะอย่างทำงานยังไง
Token หรือ Access Token เป็นข้อความยาวๆ ทำหน้าที่ติดต่อ API ของ facebook โดยในแต่ล่ะ App ของ facebook ก็จะมี Access Token แจกให้ ซึ่ง Token จะเอาไปทำอะไรได้บ้าง ก็ขึ้นอยู่กับ App นั้นร้องขอสิทธิในการเข้าถึง Account ของเราแค่ไหน และเรายอมรับมันทั้งหมดหรือเปล่า
Graph API สั้นๆเข้าใจง่ายคือ ตัวช่วยที่จะให้ท่านสามารถเข้าถึงข้อมูลจากเฟสบุ๊คได้ ปกติจะอยู่ในส่งนของ facebook developer
การที่จะ hack ได้คุณต้องมี Token ของเป้าหมายครับ สิ่งที่ง่ายที่สุดคือ ต้องสร้าง App ใน Facebook หลังจากนั้นก็ติ๊กเลือกว่า App นั้นจะขอสิทธิที่จะ Access ข้อมูลอะไรบ้างตามที่เราต้องการ (เดี๋ยวว่างๆจะสอนสร้าง App น่ะครับ อิอิ) เมื่อผู้ใช้งานกดยอมรับ Permisson App แล้ว facebook ก็จะจัดการการสร้าง Token เพื่อให้ App สามารถเข้าถึง Account ได้แล้วครับ
ตัวอย่างผมจะใช้ Token ของผมเองน่ะ สมมุติว่าเราได้ Token แล้ว (ยิ้มอ่อน) เราก็เอามาจัดการได้เลยครับ
เข้าเว็บ developers.fb.com/accesstoken แล้วก็เอา token ทีไ่ด้ไปวางไวในช่อง accesstoken: เลยครับ ถ้าลองกด Debug เราก็จะเห็นรายละเอียดทั้งหมดของ Token แล้วก็สิทธิในการเข้าถึงทั้งหมดที่ได้รับ
กลับมาหน้า Graph API Explorer ตรง GET เราอยากจะรู้ข้อมูลอะไร ก็ใส่ลงไปใน Node ได้เลยครับ แต่ต้องอยู่ในข้อมูลที่ยอมรับการ Access เท่านั้น จะบอกว่ามันดึงมาโชว์ได้แม้กระทั่งข้อมูลนั้นถูกตั้ง Hiden ไว้เฉพาะเรา (Only Me) ก็ตาม โดยข้อมูลจะมาโดยรูปแบบของ JASON
เรามาเล่นสนุกกันดีกว่า (แต่ถ้าคนโดนคงไม่สนุก) ตัวอย่างครับ ผมอยากข้อมูลของคนๆนั้น ก็สามารถเติม /me ตามด้วย field ที่ต้องการ หรือพิมพ์ตรงด้านขวาไปได้เลย เช่น ผมต้องการดู id ดูชื่อ ดูที่อยู่ ก็ใส่เป็น /me?fields=id,name,location จากนั้นกด Submit ข้อมูลก็ถูกเรียกมาหมดเลยครับ โหดไหมล่ะ 555555
หรือถ้าต้องการเห็น Post ของคนนั้น ก็ใส่ /me/posts ข้อมูลก็ถูกดึงขึ้นมาทั้งหมด ตามจริงโพส หมีหื่น ผมก็ Only Me ไว้ก็โดนครับ บอกแล้วไง
แอ๊ะ แล้วถ้าต้องการรู้คน Like Post ล่ะ ก็เพิ่มใน field ไปเลยครับ /me/posts?fields=likes ตัวเลขก็จะมาแล้ว
และอื่นๆอีกมากมาย ...
แต่ มันมีการเข้าถึงลึกกว่านั้นครับ ตัวอย่างที่ผมจะโชว์ให้ดูคือ การแอบดูข้อมูลการแชทสนทนาทั้งหมด (ทดลองว่าเราเป็น hacker สักนิด) ซึ่งสามารถทำได้โดยง่ายๆเลย เข้า https://graph.facebook.com/me/inbox?access_token=<ใส่ access_token> ก็จะเห็นข้อความมาทั้งหมดเลยครับ ซึ่งถ้าเป็นข้อความภาษาอังกฤษ ก็จะอ่านได้เลย แต่ถ้าเป็นภาษาไทย ก็จะถูก Unicode Entities ไว้ หน้าที่เราคือแปลงให้เป็น Unicode Text ใช้เว็บพวก Tools Online Decode ออกมาเลย เช่น http://unicode.online-toolz.com/tools/text-unicode-entities-convertor.php
ที่ผมจะสื่อคือ เราต้องอยู่จักระวังตัวครับ การขโมย Access Token ก็เหมือนเขาเอาข้อมูลส่วนตัวทุกอย่างเราไปและใช้บัญชีเราไปใช้ทำอะไรก็ได้ ตัวอย่างที่เจอบ่อยๆคือ แอบเอามาโพสรูปโป๋ คลิปโป๋ ตามกลุ่มรัวๆ หรือที่บางคนเรียกว่า ไวรัสเฟสบุ๊ค หรือ มีการให้บัญชีที่โดย hack ทักแชทส่งสิ้งไวรัสให้เป้าหมายคลิก พูดไปก็ไม่หมด มีอีกมายมายเลยฮะ
วิธีป้องกันตัวเองที่ดีที่สุดคือ
- ไม่กดใช้ App ที่ดูแล้วไม่มีความน่าเชื่อถือเลย เช่น พวกดูดวง ทำนายต่าง ดูรูปหรือคลิปโป๋ อันหลังนี่ควรระวังให้ดีเป็นพิเศษ ร้อยทั้งร้อยโดยแน่ๆ
- ถ้าจำเป็นที่ต้องใช้ app นั้น ให้ดูว่า Permission ที่ขอมีอะไรบ้าง มันตรงหรือใกล้เคียงกับสิ่งที่คิดว่าเขาต้องใช้หรือเปล่า เช่น ถ้าขอแค่การ Login แค่นี้ก็ไม่ควรจะขอ Permission อย่างอื่น เช่น ให้ยอมรับการเข้าถึงข้อมูลส่วนตัวทุกอย่างของเรา (ถ้าคนใช้ GooglePlus นี่สะดวกหน่อย ตรงหน้าขอ Permission เราสามารถติ๊กถูกได้เลย ว่าเราต้องการให้ข้อมูลอะไรไปบ้าง)
แล้วถ้าเราโดยขโมย Access Token แล้ว จะมีงิธีแก้ยังไงได้บ้าง ?
- เปลี่ยนรหัสผ่าน จะทำให้ token ทุก app ทั้งหมดที่มีอยู่ก็ใช้งานไม่ได้
- เข้าที่ https://www.facebook.com/settings?tab=applications หรือ Settings –> app –> เลือก app แล้วกด x (Remove) ก็จะทำให้ token นั้นใช้ไม่ได้แล้ว
เริ่มแรกครับ เราต้องมารู้จักสองตัวนี้กันก่อ คือ Token และ Graph API ว่ามันคืออะไรและแต่ล่ะอย่างทำงานยังไง
Token หรือ Access Token เป็นข้อความยาวๆ ทำหน้าที่ติดต่อ API ของ facebook โดยในแต่ล่ะ App ของ facebook ก็จะมี Access Token แจกให้ ซึ่ง Token จะเอาไปทำอะไรได้บ้าง ก็ขึ้นอยู่กับ App นั้นร้องขอสิทธิในการเข้าถึง Account ของเราแค่ไหน และเรายอมรับมันทั้งหมดหรือเปล่า
Graph API สั้นๆเข้าใจง่ายคือ ตัวช่วยที่จะให้ท่านสามารถเข้าถึงข้อมูลจากเฟสบุ๊คได้ ปกติจะอยู่ในส่งนของ facebook developer
การที่จะ hack ได้คุณต้องมี Token ของเป้าหมายครับ สิ่งที่ง่ายที่สุดคือ ต้องสร้าง App ใน Facebook หลังจากนั้นก็ติ๊กเลือกว่า App นั้นจะขอสิทธิที่จะ Access ข้อมูลอะไรบ้างตามที่เราต้องการ (เดี๋ยวว่างๆจะสอนสร้าง App น่ะครับ อิอิ) เมื่อผู้ใช้งานกดยอมรับ Permisson App แล้ว facebook ก็จะจัดการการสร้าง Token เพื่อให้ App สามารถเข้าถึง Account ได้แล้วครับ
ตัวอย่างผมจะใช้ Token ของผมเองน่ะ สมมุติว่าเราได้ Token แล้ว (ยิ้มอ่อน) เราก็เอามาจัดการได้เลยครับ
เข้าเว็บ developers.fb.com/accesstoken แล้วก็เอา token ทีไ่ด้ไปวางไวในช่อง accesstoken: เลยครับ ถ้าลองกด Debug เราก็จะเห็นรายละเอียดทั้งหมดของ Token แล้วก็สิทธิในการเข้าถึงทั้งหมดที่ได้รับ
กลับมาหน้า Graph API Explorer ตรง GET เราอยากจะรู้ข้อมูลอะไร ก็ใส่ลงไปใน Node ได้เลยครับ แต่ต้องอยู่ในข้อมูลที่ยอมรับการ Access เท่านั้น จะบอกว่ามันดึงมาโชว์ได้แม้กระทั่งข้อมูลนั้นถูกตั้ง Hiden ไว้เฉพาะเรา (Only Me) ก็ตาม โดยข้อมูลจะมาโดยรูปแบบของ JASON
แอ๊ะ แล้วถ้าต้องการรู้คน Like Post ล่ะ ก็เพิ่มใน field ไปเลยครับ /me/posts?fields=likes ตัวเลขก็จะมาแล้ว
ขออยากรู้คน Like อ่ะว่ามีใครบ้าง รูปหน้าคน Like ด้วยได้ไหม ก็จัดไปฮะ ไม่มีปัญหา ถถถถถถ / me/posts?fields=likes{name,picture}
และอื่นๆอีกมากมาย ...
แต่ มันมีการเข้าถึงลึกกว่านั้นครับ ตัวอย่างที่ผมจะโชว์ให้ดูคือ การแอบดูข้อมูลการแชทสนทนาทั้งหมด (ทดลองว่าเราเป็น hacker สักนิด) ซึ่งสามารถทำได้โดยง่ายๆเลย เข้า https://graph.facebook.com/me/inbox?access_token=<ใส่ access_token> ก็จะเห็นข้อความมาทั้งหมดเลยครับ ซึ่งถ้าเป็นข้อความภาษาอังกฤษ ก็จะอ่านได้เลย แต่ถ้าเป็นภาษาไทย ก็จะถูก Unicode Entities ไว้ หน้าที่เราคือแปลงให้เป็น Unicode Text ใช้เว็บพวก Tools Online Decode ออกมาเลย เช่น http://unicode.online-toolz.com/tools/text-unicode-entities-convertor.php
ที่ผมจะสื่อคือ เราต้องอยู่จักระวังตัวครับ การขโมย Access Token ก็เหมือนเขาเอาข้อมูลส่วนตัวทุกอย่างเราไปและใช้บัญชีเราไปใช้ทำอะไรก็ได้ ตัวอย่างที่เจอบ่อยๆคือ แอบเอามาโพสรูปโป๋ คลิปโป๋ ตามกลุ่มรัวๆ หรือที่บางคนเรียกว่า ไวรัสเฟสบุ๊ค หรือ มีการให้บัญชีที่โดย hack ทักแชทส่งสิ้งไวรัสให้เป้าหมายคลิก พูดไปก็ไม่หมด มีอีกมายมายเลยฮะ
วิธีป้องกันตัวเองที่ดีที่สุดคือ
- ไม่กดใช้ App ที่ดูแล้วไม่มีความน่าเชื่อถือเลย เช่น พวกดูดวง ทำนายต่าง ดูรูปหรือคลิปโป๋ อันหลังนี่ควรระวังให้ดีเป็นพิเศษ ร้อยทั้งร้อยโดยแน่ๆ
- ถ้าจำเป็นที่ต้องใช้ app นั้น ให้ดูว่า Permission ที่ขอมีอะไรบ้าง มันตรงหรือใกล้เคียงกับสิ่งที่คิดว่าเขาต้องใช้หรือเปล่า เช่น ถ้าขอแค่การ Login แค่นี้ก็ไม่ควรจะขอ Permission อย่างอื่น เช่น ให้ยอมรับการเข้าถึงข้อมูลส่วนตัวทุกอย่างของเรา (ถ้าคนใช้ GooglePlus นี่สะดวกหน่อย ตรงหน้าขอ Permission เราสามารถติ๊กถูกได้เลย ว่าเราต้องการให้ข้อมูลอะไรไปบ้าง)
แล้วถ้าเราโดยขโมย Access Token แล้ว จะมีงิธีแก้ยังไงได้บ้าง ?
- เปลี่ยนรหัสผ่าน จะทำให้ token ทุก app ทั้งหมดที่มีอยู่ก็ใช้งานไม่ได้
- เข้าที่ https://www.facebook.com/settings?tab=applications หรือ Settings –> app –> เลือก app แล้วกด x (Remove) ก็จะทำให้ token นั้นใช้ไม่ได้แล้ว
ไม่มีระบบไหนในโลก Online หรือการป้องกันใด ที่ปลอดภัยร้อยเปอร์เซ็น ใส่ข้อมูลเท่าที่จำเป็นเท่านั้นครับ
ขอบคุณที่ทแบ่งบันความรู้ครับ ^^
ReplyDeleteยินดีครับ :)
Deleteขอบคุณสำหรับความรู้ที่มีประโยชน์มากครับ
ReplyDeleteขอบคุณที่เข้ามาอ่านเช่นกันครับ
Deleteแล้วเราจะ หา TOKEN ของอีกคนได้อย่างไรครับ
ReplyDeleteแล้วเราจะ หา TOKEN ของอีกคนได้อย่างไรครับ
ReplyDeleteมืลิงก์ดาวโหลดโทเคนไหมครับ
ReplyDeleteสุดยอดดด
ReplyDeletehttps://www.youtube.com/watch?v=gaEAVoSbpcM&t=53s
ReplyDelete