El 2 de junio, un investigador (usuario del foro checkoutxixi) publicó públicamente una denuncia detallada en la comunidad de desarrolladores de OpenAI, describiendo una cadena de suministro de abuso de suscripciones de ChatGPT ya comercializada, que abarca cuatro tipos: 1. Simular el protocolo del cliente de Apple para falsificar información de Apple ID, suscribirse de forma masiva a Plus/Pro en regiones de bajo costo como Turquía (aproximadamente ₺499,99) o Filipinas (aproximadamente ₱491,07, con el código promocional plus-1-month-50-pct-off acumulable) y luego revenderlas a un precio más alto, aislando las cuentas de ChatGPT del Apple ID de pago real para evitar el riesgo de bloqueo; 2. Aprovechar la vulnerabilidad de que campos como billing_details.country / billing_details.currency pueden ser modificados por el cliente para realizar suscripciones masivas entre regiones; 3. Registrar cuentas gratuitas de ChatGPT de forma masiva, extraer Session/Token y, a través de herramientas de proxy inverso como sub2api, cliproxyapi, conectarlas a un grupo de proxies, vendiéndolas externamente como servicio de API “GPT-5.5”; 4. Escanear códigos promocionales de Business para activar el servicio a costo cero y, aprovechando la posible falta de verificación del límite de asientos en el servidor, expandir a 1602 personas el número de miembros de una sola organización Business y luego revender los asientos. El moderador de la comunidad de OpenAI, Avinash, ha respondido públicamente, indicando que transmitirá los comentarios al equipo correspondiente para su evaluación y tratamiento.
El denunciante afirma que estas vulnerabilidades han sido reproducidas con éxito y que las vulnerabilidades relacionadas con Apple se han reportado por separado a Apple, pero hasta el 2 de junio aún no se ha recibido confirmación de la reparación. En cuanto al abuso de cuentas gratuitas, incluso después de que OpenAI haya agregado la verificación por número de teléfono, algunos comerciantes aún afirman poder eludirla y seguir registrando cuentas de forma masiva. El denunciante afirma tener en su poder múltiples pruebas, como muestras de scripts, fragmentos de solicitudes de billing_details, capturas de pantalla de la página de administración de Business y registros de ventas de supuestas GPT-5.5 en el mercado secundario. Dado que el foro es un espacio público, aún no se han subido los detalles, y el denunciante indica que presentará más informes en varias entregas.