Экстрадиция 19-летнего Питера Стоукса (Peter Stokes), подозреваемого в работе на кибергруппировку Scattered Spider, обернулась громким разоблачением. В материалах дела обнаружилось, что Microsoft присваивает каждой установке Windows постоянный идентификатор, который позволяет отслеживать ПК даже при включённом VPN.
Согласно 39-страничному заявлению ФБР, Стоукс пытался замести следы: использовал VPN и утилиту туннелирования ngrok, чтобы обойти защиту ритейлера. Однако в распоряжении Microsoft оказались записи, указывающие, что устройство с конкретным идентификатором GDID (Global Device ID) в определённый момент заходило на страницу регистрации учётной записи ngrok. В связке с временными метками и данными о сторонних сервисах этого хватило, чтобы выйти на след подозреваемого. В документах представитель Microsoft описал GDID как «постоянный идентификатор на уровне устройства, предназначенный для уникальной идентификации установки Windows — на физическом компьютере или виртуальной машине». Сам по себе факт присвоения ID не новость: многие операционные системы используют подобные механизмы для различения клиентов. Тонкость в том, что GDID сохраняется при обновлениях Windows и может привязываться к действиям пользователя за пределами сервисов Microsoft.
Проще говоря, софтверный гигант способен видеть, как ваш ПК взаимодействует со сторонними сайтами и сервисами, и сопоставлять эти данные без файлов cookie. В официальной документации Microsoft идентификатор упоминается вскользь на странице поддержки, но компания ни разу не комментировала его публично. Из материалов дела следует, что идентификатор можно сменить только полной переустановкой Windows — простая перезагрузка или обновление не помогают. При этом, как отмечают эксперты,