FBI:s gripande av en misstänkt medlem i hackergruppen Scattered Spider har utlöst en bredare debatt om Microsofts GDID-spårning och användarnas integritet.

Domstolshandlingar visar att utredarna identifierade den 19-årige Peter Stokes genom att koppla aktivitet till en beständig Windows Global Device Identifier (GDID). Fallet har fått många Windows-användare att ifrågasätta hur mycket enhetsdata Microsoft samlar in och delar.

Microsoft GDID hjälpte till att identifiera den misstänkte

Enligt stämningsansökan spårade utredarna Stokes med hjälp av Microsoft GDID, en unik identifierare som är knuten till en Windows-installation.

Till skillnad från en IP-adress förblev identifieraren oförändrad trots att den misstänkte bytte VPN-tjänster, roterade IP-adresser och använde fjärrskrivbordsanslutningar.

Enligt handlingarna skapas en ny GDID endast om Windows installeras om.

Utredarna kopplade identifieraren till aktivitet från bland annat Tallinn, New York och Thailand.

VPN-tjänster dolde inte enhetens aktivitet

Myndigheterna uppger att Stokes använde samma Windows-enhet för att skapa ett konto hos ngrok samtidigt som han var ansluten via en VPN-tjänst.

Ngrok är en legitim tunnlingstjänst som möjliggör fjärråtkomst till system bakom brandväggar. Åklagare hävdar att den misstänkte använde tjänsten för att behålla obehörig åtkomst till företagsnätverk.

Utredarna kopplade också samma enhet till personliga konton på Snapchat, Apple, Facebook och onlinespelet Growtopia.

Den misstänkte ska dessutom ha publicerat bilder på lyxklockor, smycken och kontanter i sociala medier under alias som ”Bouquet”, ”Spencer” och ”Jordan”.

Myndigheterna grep honom i Helsingfors när han skulle gå ombord på ett flyg till Japan. Därefter utlämnade de honom till USA.

Microsoft GDID väcker integritetsfrågor

Fallet har lett till omfattande kritik mot Microsoft GDID på sociala medier.

Många användare uppger att de inte kände till att Windows tilldelar varje installation en beständig identifierare som kan användas i brottsutredningar.

Integritetsforskaren IT Guy hävdar att Microsoft inte offentligt har förklarat när företaget delar GDID-information med brottsbekämpande myndigheter. Han menar också att det saknas både en möjlighet att välja bort funktionen och öppen rapportering om förfrågningar som rör GDID.

Forskarna bakom vx-underground påpekar också att identifieraren spelade en viktig roll i utredningen trots att den fått mycket begränsad offentlig uppmärksamhet.

Experter säger att det är svårt att undvika Microsoft GDID

Medlemmar i Massgrave-projektet förklarar att Windows skapar enhetsidentifierare under installationen efter att operativsystemet har kommunicerat med Microsofts servrar.

Windows använder sedan identifierarna för aktivering, Microsoft Store och andra plattformsfunktioner.

Enligt gruppen skulle ett försök att förhindra att Microsoft skapar en GDID också göra att Windows-aktivering och Universal Windows Platform-appar (UWP) slutar fungera.

Vissa integritetsförespråkare rekommenderar att användare minskar Windows telemetri, undviker Microsoft-konton och använder alternativa webbläsare.

Säkerhetsforskare varnar dock för att en ominstallation av Windows i sig ger ett begränsat skydd, eftersom en ny GDID ofta kan kopplas tillbaka till samma hårdvara eller Microsoft-konto.


0 svar till ”Microsofts GDID-spårning väcker integritetskritik efter hackares gripande”