Після арешту відомого хакера Microsoft нарешті визнала: у Windows 11 є ідентифікатор, який неможливо вимкнути

Після затримання 19-річного хакера в аеропорту Гельсінкі Microsoft вперше публічно визнала: у Windows 11 працює постійний ідентифікатор пристрою GDID (Global Device Identifier), який неможливо повністю вимкнути. Про це стало відомо з розсекреченого федерального обвинувального висновку у справі проти учасника угруповання Scattered Spider — саме GDID допоміг слідству простежити активність підозрюваного через VPN, проксі-сервери й три країни.

Читайте также: “Чудовий кінематографічний досвід”: “Одіссея” Крістофера Нолана отримала 96% “свіжості”


Хакера вирахували через його ж Windows

У квітні 2026 року фінська поліція за ордером Інтерполу затримала в аеропорту Гельсінкі 19-річного громадянина з двома жорсткими дисками на 2 ТБ. У липні прокуратура США розсекретила справу проти Пітера Стоукса — імовірного учасника Scattered Spider, підозрюваного у зломі ювелірного ритейлера в травні 2025 року та вимозі викупу в $8 млн.

За версією слідства, зловмисники обдзвонювали службу підтримки, видаючи себе за співробітників, і переконували скинути паролі трьох акаунтів, два з яких мали права адміністратора. Далі вони встановили тунельний інструмент ngrok, вивантажили близько 77 ГБ даних на Amazon і надіслали лист із вимогою викупу. Компанія відмовилася платити й витратила близько $2 млн на усунення наслідків.

Що таке GDID і чому VPN не допомагає

Слідчі підняли акаунт ngrok, зареєстрований через проксі Tzulo, — сама IP-адреса була “мертвим кінцем”. Але Microsoft передала ФБР дані про GDID g:6755467234350028: пристрій із таким ідентифікатором заходив на сторінку реєстрації ngrok у ту саму хвилину, а через три години — на сайт зламаної компанії з тієї самої проксі-адреси. У судових документах представник Microsoft описав GDID як “постійний ідентифікатор на рівні пристрою для унікального визначення встановлення Windows” у межах певних сервісів компанії.


“GDID генерує не сам комп’ютер, а сервер Microsoft під час прив’язки Windows до облікового запису: служба wlidsvc звертається до login.live.com, отримує Device PUID і записує його у відкритому вигляді в реєстр. Далі його підхоплює служба Connected Devices Platform (та, що відповідає за Phone Link) і реєструє у внутрішньому “графі ідентичності” Microsoft, звідки значення потрапляє у звіти Delivery Optimization при кожному обміні даними оновлень з іншими пристроями напряму”, — пише Windows Latest.

Перевстановлення дає новий GDID, але Microsoft визнає: один акаунт може мати кілька таких ідентифікаторів, і компанія має всі підстави пов’язати новий номер зі старим через той самий акаунт та історію активації.

Слід тягнувся через чотири країни

Відновивши хронологію IP-адрес пристрою, слідчі зіставили її з входами в акаунти, вже пов’язані зі Стоуксом: у червні 2024-го — Таллінн, одночасно зі Snapchat і Facebook; у листопаді — Нью-Йорк, поряд з Apple-акаунтом і фото з готелю; у лютому 2025-го — Таїланд, зі знімком “WALDORF ASTORIA BANGKOK” днем раніше. Жодна з цих подій окремо не виглядала підозріло, але той самий GDID регулярно з’являвся точно в ті самі проміжки часу, що й акаунти підозрюваного, — і саме це стало доказовою базою справи.

Читайте также: OpenAI випустила свій перший пристрій і готує наступний: і це не смартфон

“Windows перетворили на систему стеження”

Дослідник Костін Райю в подкасті Three Buddy Problem запитав, наскільки схожі механізми діють на інших платформах, а дослідник безпеки Метью Хіккі назвав Windows “системою стеження”. Група Massgrave, автори Microsoft Activation Scripts, зазначила: встановлення Windows передає Microsoft дані про обладнання й отримує ідентифікатори для Store й ліцензування, тож уникнути GDID неможливо без порушення активації.

These device tokens are important values used in communicating with services like the Microsoft Store and Windows activation. Since tokens and PUIDs are linked to one another, it’s impossible to prevent Windows from getting a GDID without breaking activation and UWP apps. pic.twitter.com/CBzq5XModL

— MAS (@massgravel) July 7, 2026

На відміну від Apple, де рекламний ідентифікатор супроводжується запитом дозволу й можливістю скидання, GDID не має жодного екрана згоди — його присвоюють автоматично при вході в акаунт Microsoft.

Що можна зробити

Повністю прибрати ідентифікатор не можна, каже Massgrave, — це зламало б активацію. Але кілька налаштувань обмежують обсяг даних: локальний облік замість Microsoft-акаунту; вимкнена опційна діагностика й персоналізована реклама в “Конфіденційність і безпека”; вимкнений хмарний пошук. Для журналістів чи активістів видання радить перейти на Linux із Tor, оскільки GDID залежить не від VPN, а від інсталяції системи.

Windows Latest наголошує: за понад десятиліття Microsoft опублікувала про GDID лише одне речення — у довідці Azure Monitor для адміністраторів, тоді як ідентифікатор працює на пристроях приблизно 1,6 мільярда користувачів Windows.

Читайте также: Assassin’s Creed Black Flag Resynced отримає режим “Нова гра +”: Ubisoft вже над цим працює


Джерело: Windows Latest

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *