ME News के अनुसार, 20 अप्रैल (UTC+8) को, Beating द्वारा निगरानी के अनुसार, पिछले शुक्रवार को, BugstoOai नामक डेवलपर ने OpenAI के आधिकारिक डेवलपर कम्युनिटी में एक सुरक्षा रिपोर्ट पोस्ट की, जिसमें iOS वर्जन ChatGPT सदस्यता सत्यापन में एक तार्किक दोष की खोज की गई। रिपोर्ट में बताया गया है कि OpenAI का बैकएंड Apple Pay रसीद के हस्ताक्षर की वैधता की जांच करता है और अनुरोध में OpenAI auth token की वैधता की भी जांच करता है, लेकिन Apple ID, जिससे खरीदारी की गई है, और Plus प्राप्त करने वाले OpenAI खाते के बीच कोई मेल नहीं लगाता। रिपोर्ट में वर्तमान अधिकृत तर्क को “वैध रसीद + वैध token = Plus सक्षम” के रूप में सारांशित किया गया है, और इसे एक कर्मचारी के समान बताया गया है जो केवल रसीद की सच्चाई की जांच करता है, लेकिन रसीद धारक की पहचान प्रमाण पत्र की जांच नहीं करता। प्रभावित है ChatGPT iOS ऐप (रिपोर्ट लेखक ने स्पष्ट किया है कि v1.2026.xx संस्करण में परीक्षण किया गया है) और बैकएंड API `/backend-api/subscription/upgrade`। रिपोर्ट में हल के सुझाव भी दिए गए हैं: रसीद को खरीदार की पहचान से बांधना, रसीद को एकल-उपयोग के लिए सख्त करना, Apple ID और OpenAI खाते के साथ फिंगरप्रिंट संबंध स्थापित करना, और एक ही transaction_id के विभिन्न खातों में प्रकट होने पर निगरानी करना। अंग्रेजी पोस्ट में केवल उच्च-स्तरीय चरणों का ही उल्लेख है, संपूर्ण पुन:उत्पादन विवरण “जिम्मेदार प्रकटीकरण” सिद्धांत के अनुसार प्रकाशित नहीं किए गए हैं। पोस्ट के अंत में, एक चीनी लेख (linux.do/t/topic/1981747) को मूल स्रोत के रूप में संदर्भित किया गया है; चीनी संस्करण में सीधे हमले का मार्ग स्पष्ट है: तुर्की Apple ID से Plus (499 TL मासिक) की खरीदारी करें, mitmproxy जैसे स्थानीय प्रॉक्सी का प्रयोग करके ChatGPT ऐप से OpenAI को प्रेषित होने वाली रसीद को पकड़ें, और फिर सभी प्रकार के हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलेस OpenAI हेडलéस OpenAI hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalés OpénAí hédalésOpérations de réduction de la charge de travail.
iOS ChatGPT Plus सब्सक्रिप्शन वल्नरेबिलिटी के कारण एक ही रसीद का उपयोग कई खातों के लिए किया जा सकता है
KuCoinFlashसाझा करें
सारांश
एक डेवलपर ने iOS ChatGPT Plus सब्सक्रिप्शन सिस्टम में एक सुरक्षा दोष को उजागर किया, जिससे Apple Pay रसीदों का उपयोग कई खातों के लिए पुनः किया जा सकता है। यह समस्या `/backend-api/subscription/upgrade` एंडपॉइंट में है, जहां Apple ID की पुष्टि के लिए कोई जांच नहीं होती है जो OpenAI खाते से मेल खाती हो। इससे रिसेल प्लेटफॉर्म पर कम लागत वाले Plus सब्सक्रिप्शन के दिखाई देने की व्याख्या हो सकती है। OpenAI अभी तक प्रतिक्रिया नहीं दे चुका है, और कोई प्रूफ-ऑफ-कॉन्सेप्ट उपलब्ध नहीं है। यह दोष CFT की चिंताओं को उजागर करता है और क्रिप्टो और फिनटेक क्षेत्र में रिस्क-ऑन संपत्तियों के लिए जोखिमों को उजागर करता है।
स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा।
डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।