Tin tức từ ME News, ngày 20 tháng 4 (UTC+8), theo giám sát của Beating, vào thứ Sáu tuần trước, một nhà phát triển có ID là BugstoOai đã đăng một báo cáo bảo mật trên cộng đồng nhà phát triển chính thức của OpenAI, cho biết đã phát hiện một lỗ hổng logic trong việc xác thực đăng ký ChatGPT phiên bản iOS. Báo cáo nêu rõ: backend của OpenAI sẽ kiểm tra tính hợp lệ của chữ ký hóa đơn Apple Pay và cũng kiểm tra xem token xác thực OpenAI trong yêu cầu có hợp lệ hay không, nhưng không so sánh Apple ID dùng để mua hóa đơn với tài khoản OpenAI nhận Plus có phải là cùng một người hay không. Báo cáo tóm tắt logic xác thực hiện tại là “hóa đơn hợp lệ + token hợp lệ = kích hoạt Plus”, và so sánh với nhân viên chỉ kiểm tra tính xác thực của hóa đơn mà không kiểm tra giấy tờ tùy thân của người giữ hóa đơn. Những hệ thống bị ảnh hưởng bao gồm ứng dụng ChatGPT iOS (tác giả báo cáo ghi chú đã kiểm tra trên phiên bản v1.2026.xx) và giao diện backend `/backend-api/subscription/upgrade`. Báo cáo cũng đưa ra đề xuất giảm thiểu rủi ro: liên kết hóa đơn với danh tính người mua, áp dụng chế độ sử dụng một lần cho hóa đơn, thêm liên kết vân tay giữa Apple ID và tài khoản OpenAI, và giám sát việc cùng một transaction_id xuất hiện trên nhiều tài khoản khác nhau. Bài đăng tiếng Anh chỉ nêu các bước tổng quan, cho biết chi tiết tái tạo đầy đủ sẽ không được công khai theo nguyên tắc “tiết lộ có trách nhiệm”. Cuối bài đăng, tác giả ghi chú một bài viết tiếng Trung là nguồn gốc (linux.do/t/topic/1981747); bản tiếng Trung trực tiếp nêu rõ lộ trình khai thác: dùng Apple ID khu vực Thổ Nhĩ Kỳ mua Plus (giá 499 lira/tháng), dùng proxy cục bộ như mitmproxy để chặn hóa đơn mà ứng dụng ChatGPT gửi đến OpenAI, sau đó dùng hóa đơn này gọi lặp lại giao diện đăng ký để kích hoạt Plus cho nhiều tài khoản khác nhau; tác giả cho biết nguồn gốc của các dịch vụ nạp tiền ChatGPT Plus giá rẻ trên Xianyu chính là lộ trình này. Cho đến nay, OpenAI chưa phản hồi báo cáo này trên diễn đàn hay bất kỳ kênh nào khác. Một số người dùng trong khu vực thảo luận cũng nghi ngờ nội dung do AI tạo ra và không có bằng chứng có thể tái tạo được. Báo cáo không cung cấp PoC đầy đủ và cũng chưa có nhà nghiên cứu bảo mật bên thứ ba xác minh độc lập, hiện tại nó chỉ được coi là một tin đồn cần xác minh thêm. (Nguồn: BlockBeats)
Lỗ hổng đăng ký iOS ChatGPT Plus cho phép sử dụng lại biên lai cho nhiều tài khoản
KuCoinFlashChia sẻ
Tóm tắt
Một nhà phát triển đã phát hiện lỗ hổng bảo mật trong hệ thống đăng ký ChatGPT Plus trên iOS, cho phép sử dụng lại biên lai Apple Pay cho nhiều tài khoản khác nhau. Vấn đề nằm ở endpoint `/backend-api/subscription/upgrade`, nơi không có kiểm tra nào xác minh rằng Apple ID khớp với tài khoản OpenAI. Điều này có thể giải thích vì sao các gói Plus giá rẻ lại xuất hiện trên các nền tảng bán lại. OpenAI chưa phản hồi, và hiện chưa có bằng chứng minh họa. Lỗ hổng này gây lo ngại về CFT và làm nổi bật rủi ro đối với các tài sản mang tính rủi ro cao trong lĩnh vực tiền mã hóa và fintech.
Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này.
Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụng và Tiết lộ rủi ro của chúng tôi.