用户向 OpenAI 报告Apple Pay收据验证漏洞:可无限激活Plus订阅
该报告称:iOS ChatGPT 应用的订阅验证流程中存在一个逻辑漏洞,OpenAI 的后端验证 Apple Pay 收据的加密真实性,但并未验证购买收据的 Apple ID 是否与接收 Plus 升级的 OpenAI 帐户匹配。
这样一来,无论原始购买者的身份如何,都可以使用有效的已付款收据在任何OpenAI 帐户上激活 ChatGPT Plus。
利用此漏洞,只需一份付费收据(约2.5-3美元),即可在无限数量的帐户上激活Plus,导致收入损失和不公平的系统滥用。建议的缓解措施包括将收据绑定到购买者身份、实施收据单次使用策略,以及添加设备/帐户指纹识别。
—— OpenAI开发者社区
via 风向旗参考快讯 - Telegram Channel
该报告称:iOS ChatGPT 应用的订阅验证流程中存在一个逻辑漏洞,OpenAI 的后端验证 Apple Pay 收据的加密真实性,但并未验证购买收据的 Apple ID 是否与接收 Plus 升级的 OpenAI 帐户匹配。
这样一来,无论原始购买者的身份如何,都可以使用有效的已付款收据在任何OpenAI 帐户上激活 ChatGPT Plus。
利用此漏洞,只需一份付费收据(约2.5-3美元),即可在无限数量的帐户上激活Plus,导致收入损失和不公平的系统滥用。建议的缓解措施包括将收据绑定到购买者身份、实施收据单次使用策略,以及添加设备/帐户指纹识别。
—— OpenAI开发者社区
via 风向旗参考快讯 - Telegram Channel
