ME সংবাদ, ২০ এপ্রিল (UTC+8), অ্যানালিসিস বিটিং-এর মনিটরিং অনুযায়ী, গত শুক্রবার, BugstoOai নামের একজন ডেভেলপার ওপেনএআই-এর অফিসিয়াল ডেভেলপার কমিউনিটিতে একটি সুরক্ষা রিপোর্ট পোস্ট করেন, যেখানে তিনি iOS-এর ChatGPT সাবস্ক্রিপশন ভেরিফিকেশনে একটি লজিক্যাল ভুল আবিষ্কার করার কথা জানান। রিপোর্টটি উল্লেখ করে: OpenAI-এর ব্যাকএন্ড Apple Pay রসিদের ডিজিটাল সিগনেচারের বৈধতা যাচাই করে, এবং অনুরোধের OpenAI auth token-এর বৈধতা যাচাই করে, কিন্তু Apple ID-টি (যা রসিদটি কিনেছে) এবং OpenAI অ্যাকাউন্টটি (যা Plus-এর জন্য ব্যবহার করা হচ্ছে) একই ব্যক্তির কি না, তা তুলনা করে না। রিপোর্টটি বর্তমান অথোরাইজেশন লজিককে “বৈধ রসিদ + বৈধ token = Plus একটিভেশন” হিসাবে সংক্ষেপে উপস্থাপন করেছে, এবং এটিকে একজন দোকানদারের মতো বর্ণনা করেছে, যে শুধুমাত্র রসিদটির সত্যতা যাচাই করে, কিন্তু রসিদধারীর ID-টি পরীক্ষা করে না। প্রভাবিত হয়েছে ChatGPT iOS অ্যাপ (ডেভেলপার 1.2026.xx-এর মধ্যেই টেস্টিংয়ের কথা উল্লেখ করেছেন) এবং `/backend-api/subscription/upgrade` API। রিপোর্টটির মধ্যেই 4টি হ্রাসকরণ (mitigation) পদক্ষেপও দেওয়া: 1) রসিদটির Apple ID-এর সঙ্গে ID-বাইন্ডিং, 2) 1বারই use-এর (one-time use)强制, 3) Apple ID-এবং OpenAI account-এর fingerprint-এর link, 4) same transaction_id-এর cross-account use-এর monitoring। ইংরেজি পোস্টটি kew steps-এরই mention-করেছে, “responsible disclosure”-এর rule-অনুযায়ী full reproduction details-টি public-এর claim-করা। পোস্টটির last-এ, Chinese article (linux.do/t/topic/1981747) -কে original source-হিসাবে mark-করা। Chinese version-এ direct exploit path-টি mention: Turkish region-এ Apple ID-দিয়ে Plus (মাসিক 499 TL) buy, mitmproxy-এর like local proxy-দিয়ে ChatGPT app-এর OpenAI-তে send-receipt intercept, then same receipt multiple times use-করে different accounts-এ Plus activate; author claim, Xianyu-তে low-price ChatGPT Plus refill-এর source exactly same path। OpenAI至今未在论坛或其他渠道回应这份报告。 আলোচনা-ফোরামেও user-দের questioning: AI-generated content, no verifiable evidence। পুঙ্খানুপুঙ্খ PoC-এর absence, third-party security researcher-দের independent verification-এর absence, current status: unverified leak। (উৎস: BlockBeats)
iOS ChatGPT Plus সাবস্ক্রিপশনের ভালনারেবিলিটি একাধিক অ্যাকাউন্টের জন্য রিসিপ্ট পুনরায় ব্যবহারের অনুমতি দেয়
KuCoinFlashশেয়ার
সারাংশ
একজন ডেভেলপার আইওএস চ্যাটজিপিটি প্লাস সাবস্ক্রিপশন সিস্টেমে একটি সুরক্ষা দুর্বলতা প্রকাশ করেছেন, যার ফলে অ্যাপল পে রসিদগুলি একাধিক অ্যাকাউন্টের জন্য পুনরায় ব্যবহার করা যায়। সমস্যাটি `/backend-api/subscription/upgrade` এন্ডপয়েন্টে রয়েছে, যেখানে কোনো চেক নেই যা অ্যাপল আইডির সাথে ওপেনএআই অ্যাকাউন্টটি মিলিয়ে দেখে। এটি রিসেল প্ল্যাটফর্মগুলিতে কম খরচে প্লাস সাবস্ক্রিপশনগুলির উপস্থিতির ব্যাখ্যা দিতে পারে। ওপেনএআই এখনও প্রতিক্রিয়া দেয়নি, এবং কোনো প্রুফ-অফ-কনসেপ্ট উপলব্ধ নয়। এই দুর্বলতা CFT-এর চিন্তা-ভাবনা তৈরি করেছে এবং ক্রিপ্টো এবং ফিনটেক ক্ষেত্রের রিস্ক-অন সম্পদগুলির জন্য ঝুঁকির প্রতি মনোযোগ আকর্ষণ করেছে।
উৎস:আসল দেখান
দাবিত্যাগ: এই পৃষ্ঠার তথ্য তৃতীয় পক্ষের কাছ থেকে প্রাপ্ত হতে পারে এবং অগত্যা KuCoin এর মতামত বা মতামত প্রতিফলিত করে না। এই বিষয়বস্তু শুধুমাত্র সাধারণ তথ্যগত উদ্দেশ্যে প্রদান করা হয়, কোন ধরনের প্রতিনিধিত্ব বা ওয়ারেন্টি ছাড়াই, বা এটিকে আর্থিক বা বিনিয়োগ পরামর্শ হিসাবে বোঝানো হবে না। KuCoin কোনো ত্রুটি বা বাদ পড়ার জন্য বা এই তথ্য ব্যবহারের ফলে যে কোনো ফলাফলের জন্য দায়ী থাকবে না।
ডিজিটাল সম্পদে বিনিয়োগ ঝুঁকিপূর্ণ হতে পারে। আপনার নিজের আর্থিক পরিস্থিতির উপর ভিত্তি করে একটি পণ্যের ঝুঁকি এবং আপনার ঝুঁকি সহনশীলতা সাবধানে মূল্যায়ন করুন। আরও তথ্যের জন্য, অনুগ্রহ করে আমাদের ব্যবহারের শর্তাবলী এবং ঝুঁকি প্রকাশ পড়ুন।