FBI’s anholdelse af et formodet medlem af hackergruppen Scattered Spider har sat gang i en bredere debat om Microsofts GDID-sporing og brugernes privatliv.

Retsdokumenter viser, at efterforskere identificerede den 19-årige Peter Stokes ved at knytte aktivitet til en vedvarende Windows Global Device Identifier (GDID). Sagen har fået mange Windows-brugere til at stille spørgsmål ved, hvor mange enhedsdata Microsoft indsamler og deler.

Microsoft GDID hjalp med at identificere den mistænkte

Ifølge anklageskriftet sporede efterforskerne Stokes ved hjælp af Microsoft GDID, en unik identifikator, der er knyttet til en Windows-installation.

I modsætning til en IP-adresse forblev identifikatoren uændret, selv om den mistænkte skiftede VPN-tjenester, roterede IP-adresser og benyttede fjernskrivebordsforbindelser.

Ifølge anklageskriftet oprettes en ny GDID kun, når Windows geninstalleres.

Efterforskerne knyttede identifikatoren til aktivitet fra blandt andet Tallinn, New York og Thailand.

VPN-tjenester skjulte ikke enhedens aktivitet

Myndighederne oplyser, at Stokes brugte den samme Windows-enhed til at oprette en ngrok-konto, mens han var forbundet via en VPN-tjeneste.

Ngrok er en legitim tunnelingtjeneste, der giver fjernadgang til systemer bag firewalls. Anklagemyndigheden hævder, at den mistænkte brugte tjenesten til at opretholde uautoriseret adgang til virksomhedsnetværk.

Efterforskerne knyttede også den samme enhed til personlige konti på Snapchat, Apple, Facebook og onlinespillet Growtopia.

Den mistænkte skulle desuden have delt billeder af luksusure, smykker og kontanter på sociale medier under aliaserne “Bouquet”, “Spencer” og “Jordan”.

Myndighederne anholdt ham i Helsinki, da han var ved at gå om bord på et fly til Japan. Senere udleverede de ham til USA.

Microsoft GDID vækker bekymring om privatliv

Sagen har udløst omfattende kritik af Microsoft GDID på sociale medier.

Mange brugere siger, at de ikke var klar over, at Windows tildeler hver installation en vedvarende identifikator, som kan bruges i efterforskninger.

Privatlivsforskeren IT Guy hævder, at Microsoft ikke offentligt har forklaret, hvornår virksomheden deler GDID-oplysninger med retshåndhævende myndigheder. Han mener også, at der hverken findes en mulighed for at fravælge funktionen eller en særskilt gennemsigtighedsrapport om GDID-anmodninger.

Forskerne hos vx-underground bemærker også, at identifikatoren spillede en vigtig rolle i efterforskningen, selv om den har fået meget begrænset offentlig opmærksomhed.

Eksperter siger, at Microsoft GDID er svær at undgå

Medlemmer af Massgrave-projektet forklarer, at Windows opretter enhedsidentifikatorer under installationen, efter at operativsystemet har kommunikeret med Microsofts servere.

Windows bruger derefter identifikatorerne til aktivering, Microsoft Store og andre platformsfunktioner.

Ifølge gruppen vil et forsøg på at forhindre Microsoft i at oprette en GDID også få Windows-aktivering og Universal Windows Platform-apps (UWP) til at holde op med at fungere.

Nogle fortalere for privatliv anbefaler, at brugere reducerer Windows-telemetri, undgår Microsoft-konti og benytter alternative browsere.

Sikkerhedsforskere advarer dog om, at en geninstallation af Windows alene giver begrænset beskyttelse, fordi en ny GDID ofte kan knyttes tilbage til den samme hardware eller Microsoft-konto.


0 svar til “Microsofts GDID-sporing vækker kritik af privatliv efter hackers anholdelse”