Noticias de ME: el 20 de abril (UTC+8), según el monitoreo de Beating, el viernes pasado, un desarrollador con ID BugstoOai publicó un informe de seguridad en la comunidad oficial de desarrolladores de OpenAI, indicando que se descubrió una vulnerabilidad lógica en la validación de suscripciones de la aplicación iOS de ChatGPT. El informe señala que el backend de OpenAI verifica si la firma del recibo de Apple Pay es válida y también valida si el token de autenticación de OpenAI en la solicitud es válido, pero no compara si el ID de Apple del recibo de compra coincide con la cuenta de OpenAI que solicita el servicio Plus. El informe resume la lógica de autorización actual como «recibo válido + token válido = activación de Plus», comparándolo con un empleado que solo verifica la autenticidad del ticket, pero no revisa la identidad del portador. Los afectados son la aplicación iOS de ChatGPT (el autor del informe indica que ya se probó en la versión v1.2026.xx) y la interfaz backend `/backend-api/subscription/upgrade`. El informe también ofrece recomendaciones para mitigar el problema: vincular el recibo a la identidad del comprador, forzar el uso único del recibo, establecer una asociación de huella digital entre el ID de Apple y la cuenta de OpenAI, y monitorear la aparición del mismo transaction_id en cuentas distintas. La publicación en inglés solo presenta los pasos generales, indicando que los detalles completos de reproducción no se divulgan por principio de divulgación responsable. Al final del post, se marca un artículo en chino como la fuente original (linux.do/t/topic/1981747); la versión en chino detalla directamente la ruta de explotación: comprar Plus con un ID de Apple de Turquía (499 liras mensuales), interceptar con un proxy local como mitmproxy los recibos enviados por la aplicación ChatGPT a OpenAI, y utilizar repetidamente ese recibo para activar Plus en diferentes cuentas mediante la interfaz de suscripción; el autor afirma que esta es la fuente detrás de los servicios baratos de recarga de ChatGPT Plus en Xianyu. Hasta ahora, OpenAI no ha respondido a este informe en foros ni en otros canales. Algunos usuarios en la comunidad han cuestionado si el contenido fue generado por IA y carece de evidencia reproducible. El informe no proporciona un PoC completo ni ha sido verificado independientemente por investigadores de seguridad externos; por ahora, solo puede considerarse un reporte no confirmado. (Fuente: BlockBeats)
Vulnerabilidad en la suscripción iOS ChatGPT Plus que permite reutilizar recibos para múltiples cuentas
KuCoinFlashCompartir
Resumen
Un desarrollador expuso una falla de seguridad en el sistema de suscripción iOS de ChatGPT Plus, que permite reutilizar recibos de Apple Pay para múltiples cuentas. El problema radica en el endpoint `/backend-api/subscription/upgrade`, donde no se verifica que el ID de Apple coincida con la cuenta de OpenAI. Esto podría explicar la aparición de suscripciones Plus de bajo costo en plataformas de reventa. OpenAI aún no ha respondido, y no hay ningún ejemplo de prueba disponible. La falla plantea preocupaciones de CFT y destaca los riesgos para los activos risk-on en el espacio cripto y fintech.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.