6월 2일, 한 연구원(포럼 사용자명 checkoutxixi)이 OpenAI 개발자 커뮤니티에 자세한 신고글을 공개적으로 게시했습니다. 해당 글은 이미 상업화된 ChatGPT 구독 남용 공급망에 대해 설명하며, 다음과 같은 네 가지 유형을 포함합니다: 첫째, Apple 클라이언트 프로토콜을 시뮬레이션하여 Apple ID 정보를 위조하고, 터키(약 ₺499.99) 또는 필리핀(약 ₱491.07, 할인 코드 plus-1-month-50-pct-off 중복 적용) 등 저가 지역에서 대량으로 Plus/Pro를 지역을 변경해 구독한 후 웃돈을 붙여 재판매하며, 계정 차단 위험을 피하기 위해 ChatGPT 계정과 실제 결제 Apple ID를 분리합니다; 둘째, billing_details.country / billing_details.currency 등의 필드가 클라이언트 측에서 수정될 수 있는 취약점을 이용하여 대량 지역 변경 구독을 진행합니다; 셋째, ChatGPT Free 계정을 대량으로 등록하고 Session/Token을 추출한 후 sub2api, cliproxyapi 등 리버스 프록시 도구를 통해 프록시 풀에 연결하여 외부에는 “GPT-5.5” API 서비스로 위장하여 판매합니다; 넷째, Business 할인 코드를 스캔하여 0원으로 개통하고, 서버 측에서 좌석 수에 대한 상한 검증이 없는 취약점을 이용한 것으로 보이는 방법으로 단일 Business 조직의 멤버 수를 1602명으로 늘린 후 좌석을 재판매합니다. OpenAI 커뮤니티 관리자 Avinash는 공개적으로 답변하며 관련 피드백을 적절한 팀에 전달하여 평가 및 처리할 것이라고 밝혔습니다.
신고자는 이러한 취약점이 성공적으로 재현되었으며, Apple 측 관련 취약점은 별도로 Apple에 신고했지만 6월 2일 기준으로 수정 확인을 받지 못했다고 말했습니다. Free 계정 남용 측면에서, OpenAI가 이미 휴대폰 번호 인증을 추가했음에도 불구하고 현재 일부 업체들은 이를 우회할 수 있다고 주장하며 대량 등록이 여전히 가능하다고 합니다. 신고자는 스크립트 샘플, billing_details 요청 일부, Business 관리 페이지 스크린샷 및 2차 시장에서 GPT-5.5로 위장하여 판매한 기록 등 여러 증거를 보유하고 있으나, 포럼이 공개 장소이므로 아직 상세 내용을 업로드하지 않았으며, 추후 추가 보고서를 제출할 것이라고 밝혔습니다.