Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

miércoles, 5 de noviembre de 2014

Rumor de leak de cuentas de iTunes

Ayer, a través de una alerta llegué a este recurso de Pastebin que ya ha sido eliminado.

Pantallazo de Pastebin con el leak


Busque en twitter el término "itunes leak", y no había ningún resultado relevante, por lo que publiqué este tweet, hoy, un día después, tampoco hay mucha más información, más allá de algún otro tweet y un post.

El recurso de Pastebin ya no está disponible, y el enlace con la base de datos tampoco, pero, en estos casos, lo importante es darse prisa, por lo que conseguí una copia de la BBDD, no se de donde habrán salido los datos, si se trata de una recopilación de antiguos leaks, ha sido generado automaticamente por alguna extraña razón, o se trata de un leak real, no lo podemos saber en este momento, pero echemos un vistazo al archivo con las credenciales:


3.840.378 de credenciales
[root@machine itunes]# wc -l 4_million_itunes.txt
3840378 4_million_itunes.txt


No hay ningúna credencial repetida, pero si mismos usuarios con diferente contraseña:
[root@machine itunes]# sort -u 4_million_itunes.txt | wc -l
3840378

[root@machine itunes]# cat 4_million_itunes.txt | cut -d ":" -f1 | sort -u
3840378

[root@sysadmin itunes]# cat 4_million_itunes.txt | cut -d ":" -f1 | sort -u | wc -l
3525400


Top 10 de dominios
[root@machine itunes]# cat 4_million_itunes.txt | cut -d "@" -f2 | cut -d ":" -f 1 | sort -nr | uniq -c |sort -nr|head
 906414 yahoo.com
 893933 hotmail.com
 803912 gmail.com
 672050 live.com
  61151 mail.ru
  60662 aol.com
  11021 comcast.net
  10450 msn.com
   5693 sbcglobal.net
   4730 web.de


114590 Dominios diferentes
[root@machine itunes]# cat 4_million_itunes.txt | cut -d "@" -f2 | cut -d ":" -f 1 | sort -u | wc -l
114590


Top 10 de contraseñas
[root@machine itunes]# cat 4_million_itunes.txt| cut -d ":" -f2 | sort -nr | uniq -c | sort -nr|head
   8789 123456
   5936 EBEANS
   4048 password
   2746 qwerty
   1965 12345678
   1156 heka6w2
   1028 123456789
    959 baseball
    958 football
    947 12345


Lo que si puedo asegurar es que los datos de usuarios son ciertos. Una búsqueda para cualquier usuario aleatorio de una gran corporación o agencia de seguridad, y vemos que efectivamente dicho usuario tiene un perfil de linkedin que concuerda. Mientras no tengamos más datos, no estará de más verificar con los principales dominios "corporativos" y de "agencias de seguridad" dichos datos como medida proactiva. El tiempo dira que tipo de leak se trataba.