Usuarios del popular sitio Couchsurfing, utilizado a nivel mundial para ofrecer hospedaje a viajeros, recibieron en sus correos electrónicos un mensaje que les indicaba que el sitio estaba bajo mejoras.
Pero en una publicación en su página de soporte, Couchsurfing asegura que el e-mail no provino de la compañía: "El viernes [15 de agosto] por la noche alrededor de las 9PM Hora Pacífico un usuario no autorizado de nuestro sistema de e-mail envió a varios miembros de Couchsurfing un mensaje falso titulado "Site Improvements" [("Mejoras en el sitio")]. Tomamos este incidente muy seriamente y nos disculpamos por cualquier confusión que esto haya podido causar".
Además, el comunicado aclara que no fue expuesta información de los usuarios, y que todos aquellos que recibieron el mensaje fueron contactados para que se les explicara que el correo no debería haber sido enviado. Al mismo tiempo, la compañía se ocupó de solucionar las vulnerabilidades que el e-mail trató de exponer, y afirmó que ningún otro sistema fue comprometido.
En el foro de usuarios de Couchsurfing se publicó la siguiente captura del correo en cuestión:
Los motivos de este ataque no fueron revelados, pero según The Register, se trató de un ataque CSRF (cross-site request forgery) no exitoso. Cabe destacar que no se trata de un caso de phishing, ya que no se trató de robar credenciales de los usuarios, y además los miembros de Couchsurfing no intercambian dinero en la plataforma. Lo curioso es que el enlace incluido en el mensaje, cuyo formato era incorrecto, incluía el nombre de Airbnb, un servicio similar a Couchsurfing -pero que se diferencia, entre otras cosas, por ser pago.
