ME Haberleri'ne göre, 20 Nisan (UTC+8) tarihinde, Beating tarafından izlendiğine göre, geçen Cuma günü ID'si BugstoOai olan bir geliştirici, OpenAI'nin resmi geliştirici topluluğunda bir güvenlik raporu yayınladı ve iOS versiyonundaki ChatGPT abonelik doğrulamasında bir mantık açığı tespit ettiğini bildirdi. Rapor, OpenAI'nin arka ucunun Apple Pay faturası imzasının geçerliliğini ve istekteki OpenAI auth token'ının geçerliliğini doğruladığını, ancak Apple ID'si ile Plus aboneliği alan OpenAI hesabının aynı kişiye ait olup olmadığını karşılaştırmadığını belirtti. Rapor, mevcut yetkilendirme mantığını "geçerli fatura + geçerli token = Plus etkinleştirme" olarak özetleyerek, bunu bir görevlinin faturanın sahipliğini kontrol etmeden sadece faturanın gerçekliğini kontrol etmesiyle karşılaştırdı. Etkilenenler, ChatGPT iOS uygulamasıdır (yazar, v1.2026.xx sürümünde test edildiğini belirtti) ve arka uç API'si `/backend-api/subscription/upgrade`. Rapor aynı zamanda hafifletme önerileri sunuyor: faturayı satın alan kimliğe bağlamak, faturayı tek kullanımlık hale getirmek, Apple ID ile OpenAI hesabının parmak izi ilişkisini eklemek ve aynı transaction_id'nin farklı hesaplar arasında ortaya çıkmasını izlemek. İngilizce gönderi yalnızca üst düzey adımları veriyor ve tam tekrarlanabilir detayların "sorumlu açıklama" ilkesi nedeniyle açıklanmadığını belirtiyor. Gönderinin sonunda bir Türkçe makale "orijinal metin" olarak işaretlenmiş (linux.do/t/topic/1981747); Türkçe versiyon ise doğrudan yararlanma yolunu açıklıyor: Türkiye bölgesi Apple ID'si ile Plus (aylık 499 TL) satın almak, mitmproxy gibi yerel bir proxy kullanarak ChatGPT uygulamasının OpenAI'ye gönderdiği faturayı engellemek ve bu faturayı farklı hesaplar için abonelik arayüzünü tekrar tekrar çağırarak Plus etkinleştirmek; yazar,闲鱼'da düşük fiyata ChatGPT Plus yüklemesi sunan kaynakların tam olarak bu yoldan geldiğini belirtiyor. OpenAI, şu ana kadar bu rapora forumda veya başka herhangi bir kanalda yanıt vermedi. Tartışma forumunda bazı kullanıcılar içeriğin AI tarafından üretildiğini ve tekrarlanabilir kanıt olmadığını savunuyor. Rapor tam bir PoC sağlamıyor ve üçüncü taraf güvenlik araştırmacıları tarafından bağımsız olarak doğrulanmamış; şu anda sadece doğrulanmamış bir iddia olarak kabul edilebilir. (Kaynak: BlockBeats)
iOS ChatGPT Plus Abonelik Zafiyeti, Faturaların Birden Fazla Hesap İçin Tekrar Kullanılmasına İzin Veriyor
KuCoinFlashPaylaş
Özet
Bir geliştirici, iOS ChatGPT Plus abonelik sisteminde bir güvenlik açığı ortaya çıkardı ve Apple Pay faturalarının birden fazla hesap için yeniden kullanılmasına izin verdi. Sorun, Apple ID'nin OpenAI hesabıyla eşleşip eşleşmediğini doğrulayan herhangi bir kontrolün bulunmadığı `/backend-api/subscription/upgrade` uç noktasında yer alıyor. Bu, yeniden satış platformlarında düşük maliyetli Plus aboneliklerinin ortaya çıkmasının nedeni olabilir. OpenAI henüz yanıt vermedi ve kanıt önerisi mevcut değil. Bu açık, CFT endişelerini artırıyor ve kripto ve fin teknoloji alanında riskli varlıklara yönelik riskleri vurguluyor.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.