This media is not supported in your browser
VIEW IN TELEGRAM
#writeup #security
Новые инструменты — новые угрозы: команда OpenAI исправила критическую уязвимость захвата учетной записи ChatGPT
Можно было захватить чью-то учетную запись, просмотреть историю чатов и получить доступ к платежной информации.
Началось все с того, что на бэкенде некорректно обрабатывалось расширение, и вместо css возвращался конфиденциальный json-файл:
chat.openai[.]com/api/auth/session.css -> 400 ❌
chat.openai[.]com/api/auth/session/test.css -> 200 ✔️
Подробности — под катом.👇
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
Новые инструменты — новые угрозы: команда OpenAI исправила критическую уязвимость захвата учетной записи ChatGPT
Можно было захватить чью-то учетную запись, просмотреть историю чатов и получить доступ к платежной информации.
Началось все с того, что на бэкенде некорректно обрабатывалось расширение, и вместо css возвращался конфиденциальный json-файл:
chat.openai[.]com/api/auth/session.css -> 400 ❌
chat.openai[.]com/api/auth/session/test.css -> 200 ✔️
Подробности — под катом.👇
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)