- No caso de Peter Stokes, de 19 anos, acusado de envolvimento com o Scattered Spider, veio à tona que o FBI vinculou um PC Windows a atividades online usando registros do Global Device ID (GDID) da Microsoft
- O GDID é um identificador persistente em nível de dispositivo que identifica uma instalação do Windows em serviços e cenários da Microsoft, podendo se aplicar tanto a dispositivos físicos quanto a máquinas virtuais
- A queixa criminal inclui registros de que, em 12 de maio de 2025, às 19:21 UTC, o GDID associado ao computador de Stokes acessou a página de cadastro do ngrok e vários sites em servidores da Tzulo
- O GDID persiste após atualizações do Windows, mas muda para um novo valor em caso de reinstalação; um usuário da Microsoft pode ter vários GDIDs
- O caso aumentou as preocupações de que a atividade online de PCs Windows possa ser rastreada mesmo sem cookies de terceiros no navegador, e alguns usuários começaram a procurar formas de verificar e remover o GDID
Uso do GDID revelado em caso de prisão
- Os Estados Unidos extraditaram da Europa Peter Stokes, de 19 anos, acusado de integrar o grupo hacker Scattered Spider
- Na queixa criminal divulgada, registros da Microsoft foram usados como pista central para ligar Stokes a crimes de hacking suspeitos
- Stokes é acusado de ter hackeado, em maio de 2025, uma varejista de joias de luxo não identificada, e consta que ele usou uma VPN na ocasião
- O FBI confirmou, por meio de registros da Microsoft, que seu endereço IP estava associado a um identificador de dispositivo da Microsoft chamado Global Device ID (GDID)
O que o GDID identifica
- Na explicação da Microsoft citada na queixa, o GDID é definido como um identificador persistente em nível de dispositivo do ecossistema Windows
- Esse identificador foi projetado para distinguir de forma única uma instalação do sistema operacional Windows
- Pode se aplicar a dispositivos físicos, como notebooks ou celulares
- Também inclui máquinas virtuais
- É usado em determinados serviços e cenários da Microsoft
- A prática de atribuir IDs exclusivos a contas ou dispositivos é comum, mas este caso revelou que o GDID pode ser conectado a registros de acesso a serviços de terceiros, inclusive com horários
Registros vinculados à atividade online
- Stokes é acusado de ter abusado da ferramenta de desenvolvimento web ngrok para contornar as defesas de rede da varejista de joias
- Nos registros da Microsoft, consta que, em 12 de maio de 2025, às 19:21 UTC, o GDID associado ao computador de Stokes acessou
https://dashboard[.]ngrok.com/signup- Esse URL é a página para configurar uma conta do ngrok
- O mesmo GDID também foi registrado acessando outras páginas do ngrok
- O documento também afirma que esse GDID acessou “vários sites” em servidores da provedora de hospedagem web Tzulo para ajudar na execução do ataque
- O GDID do PC de Stokes exibido na queixa é 6755467234350028
Possibilidade de rastreamento e reação dos usuários
- O fato de investigadores federais terem identificado um suposto hacker por meio de um identificador da Microsoft aumentou as preocupações com abuso para fins de vigilância
- O especialista em cibersegurança Matthew Hickey afirmou no X: “Microsoft Windows is surveillance software”
- O GDID é mencionado brevemente em uma página de suporte da Microsoft, mas a Microsoft não o explicou publicamente além disso
- Alguns usuários começaram a investigar formas de limitar ou apagar o identificador GDID
Reinstalação e dúvidas sobre outras plataformas
- Segundo a queixa, o GDID persiste após atualizações do sistema operacional Windows no mesmo dispositivo
- Ao reinstalar o Windows no mesmo dispositivo ou em outro, um novo GDID exclusivo é associado
- Uma nota de rodapé da queixa afirma que um usuário da Microsoft pode ter vários GDIDs
- O pesquisador de cibersegurança Costin Raiu questionou, com base no uso de identificadores únicos, se outras empresas de tecnologia também têm capacidades de vigilância semelhantes
- Se isso também ocorre em dispositivos Apple na mesma escala
- Se o vínculo chega ao nível do hardware, independentemente de reinstalações
- Ele disse que, para quem quiser anonimato total, pode ser necessário usar Linux, FreeBSD etc. no ambiente de desenvolvimento e passar por proxies, Tor, VPNs etc.
1 comentários
Opiniões no Hacker News
A parte interessante não é o fato de existir um identificador do dispositivo em si. Quase todos os sistemas operacionais modernos têm algo parecido. A questão maior são os limites: quais componentes podem acessá-lo e quando um identificador local se torna um identificador de rastreamento remoto. Um machine-id gravado em disco e o fornecedor do sistema operacional associá-lo à atividade de rede são coisas completamente diferentes.
Isso parece significar que a Microsoft realiza algum tipo de análise de tráfego no endpoint e a associa ao GDID. Provavelmente faz parte da proteção em tempo real do Defender ou do MAPS. Curiosidade: o Microsoft Defender MAPS antes se chamava SpyNet. https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Mas o identificador GDID parece ser de natureza de software. Para ser mais agressivo, poderia ser vinculado ao número de série da placa-mãe, como alguns jogos fazem. Nesse caso, o rastreamento ocorreria durante todo o ciclo de vida do hardware, e não por instância de instalação do Windows.
Acho que em breve vai aparecer uma ferramenta para Windows que muda o identificador desse suspeito para “g:6755467234350028”. Aliás, é um ID estranho. Entendo ter 16 dígitos, mas eu esperaria que fosse hexadecimal. Também fico curioso sobre como funciona a parte “Segundo os registros da Microsoft, em 12 de maio de 2025, às 19:21 UTC, o GDID associado ao computador de Stokes acessou, entre várias páginas do ngrok, 'https://dashboard[.]ngrok.com/signup'”. Se é o navegador que envia essa informação à Microsoft, alguém não teria percebido que o PC se conecta à Microsoft para cada página web aberta? Ou será que os dados são acumulados e enviados depois? Nesse caso, isso afeta “limitadamente” apenas usuários de navegadores da Microsoft? Ou o Chrome também envia dados ao Google do mesmo jeito? Outra possibilidade é que isso aconteça em uma camada mais baixa; consigo imaginar pontos em que um componente do sistema tem acesso ao nome de domínio, mas não sei bem onde ele veria a URL completa.
Isso mostra de forma bem contundente que a Microsoft não se importa com privacidade, seja lá o que afirme no título da tela de consentimento de cookies. Ela não se importa nem um pouco, e isso precisa ser dito sobre todos os fornecedores de big tech. Mesmo que soe clichê, chegou a hora de dizer o que precisa ser dito: eles não se importam com sua privacidade, sua independência ou seu bem-estar. De verdade, não se importam.
Esse garoto usou o próprio computador em casa; eles o rastrearam pelo endereço IP, e esse IP também enviou requisições do Windows Update. Assim, o Device ID foi delimitado, e esse ID do dispositivo levou até o garoto. É exatamente esse tipo de coisa que defensores da privacidade vêm alertando o tempo todo. Esse tipo de capacidade praticamente anula qualquer alegação de privacidade. Indo além, empresas como o Google usaram isso para acabar completamente com a própria expectativa de privacidade.
O texto é ambíguo. Não há evidências de que a Microsoft consiga ver quais páginas da web o usuário visita no Chrome ou no Firefox
Isso não é violação da lei europeia de proteção de dados pessoais?
Pode soar como loucura, mas tenho certeza de que esse tipo de telemetria está de alguma forma ligado à enorme onda organizada de publicidade de VPNs nos últimos anos Cada vez mais, a “mão invisível do mercado” parece literalmente a mão de alguns grandes grupos com poder e capital. Eles moldam e, na prática, controlam a estrutura econômica de todo o mercado, criando inclinações para que as empresas otimizem perdas VPNs podem ser spyware que aumenta diretamente a capacidade de rastreamento, ou podem ser oferecidas para ganhar dinheiro com o medo dos usuários enquanto continuam rastreando, já que agora dá para rastrear mesmo sem IP De forma mais ampla, parece que resta muito pouco de livre mercado ou democracia. Agora todos os governos também estão empurrando de forma organizada a eliminação da privacidade
O setor de tecnologia dos EUA está rapidamente ficando parecido com a Rússia e a China
Este é um tópico relacionado em que os desenvolvedores do Massgrave.dev explicam parte do mecanismo GDID https://x.com/massgravel/status/2074304593303892354