FBIs pågripelse av et mistenkt medlem av hackergruppen Scattered Spider har utløst en bredere debatt om Microsofts GDID-sporing og brukernes personvern.

Rettsdokumenter viser at etterforskerne identifiserte den 19 år gamle Peter Stokes ved å knytte aktivitet til en vedvarende Windows Global Device Identifier (GDID). Saken har fått mange Windows-brukere til å stille spørsmål ved hvor mye enhetsdata Microsoft samler inn og deler.

Microsoft GDID bidro til å identifisere den mistenkte

Ifølge tiltalebeslutningen sporet etterforskerne Stokes ved hjelp av Microsoft GDID, en unik identifikator som er knyttet til en Windows-installasjon.

I motsetning til en IP-adresse forble identifikatoren uendret selv om den mistenkte byttet VPN-tjenester, roterte IP-adresser og brukte eksterne skrivebordstilkoblinger.

Ifølge dokumentene opprettes en ny GDID bare når Windows installeres på nytt.

Etterforskerne knyttet identifikatoren til aktivitet fra blant annet Tallinn, New York og Thailand.

VPN-tjenester skjulte ikke enhetens aktivitet

Myndighetene opplyser at Stokes brukte den samme Windows-enheten til å opprette en konto hos ngrok mens han var koblet til via en VPN-tjeneste.

Ngrok er en legitim tunnelingstjeneste som gir ekstern tilgang til systemer bak brannmurer. Påtalemyndigheten hevder at den mistenkte brukte tjenesten til å opprettholde uautorisert tilgang til bedriftsnettverk.

Etterforskerne knyttet også den samme enheten til personlige kontoer på Snapchat, Apple, Facebook og nettspillet Growtopia.

Den mistenkte skal også ha publisert bilder av luksusklokker, smykker og kontanter på sosiale medier under aliasene «Bouquet», «Spencer» og «Jordan».

Myndighetene pågrep ham i Helsingfors da han skulle gå om bord på et fly til Japan. Deretter utleverte de ham til USA.

Microsoft GDID vekker bekymring for personvernet

Saken har ført til omfattende kritikk av Microsoft GDID på sosiale medier.

Mange brukere sier at de ikke visste at Windows tildeler hver installasjon en vedvarende identifikator som kan brukes i etterforskninger.

Personvernforsker IT Guy hevder at Microsoft ikke offentlig har forklart når selskapet deler GDID-informasjon med politiet. Han mener også at det verken finnes en mulighet til å reservere seg eller en egen åpenhetsrapport om forespørsler knyttet til GDID.

Forskerne bak vx-underground påpeker også at identifikatoren spilte en viktig rolle i etterforskningen, selv om den har fått svært liten offentlig oppmerksomhet.

Eksperter mener det er vanskelig å unngå Microsoft GDID

Medlemmer av Massgrave-prosjektet forklarer at Windows oppretter enhetsidentifikatorer under installasjonen etter at operativsystemet har kommunisert med Microsofts servere.

Windows bruker deretter identifikatorene til aktivering, Microsoft Store og andre plattformfunksjoner.

Ifølge gruppen vil et forsøk på å hindre at Microsoft oppretter en GDID også føre til at Windows-aktivering og Universal Windows Platform-apper (UWP) slutter å fungere.

Noen personvernforkjempere anbefaler at brukere reduserer Windows-telemetri, unngår Microsoft-kontoer og bruker alternative nettlesere.

Sikkerhetsforskere advarer imidlertid om at en ny installasjon av Windows alene gir begrenset beskyttelse, fordi en ny GDID ofte kan knyttes tilbake til den samme maskinvaren eller Microsoft-kontoen.


0 responses to “Microsofts GDID-sporing vekker personvernkritikk etter hackerpågripelse”