Windows GDID 协助 FBI 抓获黑客
近日,美国司法部联合联邦调查局成功引渡并起诉了 19 岁的少年 Peter Stokes。据起诉书1显示,微软的 Windows 全局设备标识符 (GDID, Global Device Identifier) 成为破案的关键,直接穿透了黑客用来隐匿行踪的 VPN,引发了网络安全界与公众对操作系统隐私追踪技术的广泛关注。
1 案件背景
根据法庭解密文件,拥有美国和爱沙尼亚双重国籍的 19 岁嫌疑人 Peter Stokes 是全球臭名昭著的网络犯罪团伙 Scattered Spider 的疑似核心成员。
作案过程:2025 年 5 月,Stokes 等人通过电话钓鱼手段,欺骗了一家美国跨国奢侈品珠宝商的 IT 帮助台,在数小时内成功获取了企业内部的高级管理员权限。
勒索金额:黑客窃取数据后勒索高达 800 万美元的加密货币赎金。虽然该企业将黑客踢出网络且拒绝支付,但仍遭受了约 200 万美元的破坏损失。
落网经过:2026 年 4 月,Stokes 在芬兰赫尔辛基准备登机飞往日本时被当地警方逮捕,随身携带两块 2TB 硬盘。他随后被引渡至美国,并于 2026 年 6 月底在芝加哥联邦法院首次出庭受审。
2 Windows GDID
此次案件的最大焦点并非黑客的高超技术或者传奇经历,而是将其行踪彻底暴露的微软 Windows 遥测机制 —— GDID。
GDID (Global Device Identifier) 是微软为每一个 Windows 操作系统安装实例分配的唯一持久标识符。它主要作为 Windows 遥测子系统的一部分,用于跨微软服务识别特定设备。
与 IP 地址或浏览器的 Cookie 不同,GDID 深入操作系统底层。它不受任何 VPN、网络代理或常规系统更新的影响。除非用户对计算机进行彻底的格式化并重新全新安装 Windows 操作系统,否则该标识符将始终保持不变。
从本案披露的细节来看,微软的遥测系统不仅记录设备的硬件或健康状态,还会将特定的网络活动记录 (例如访问某些特定的 URL)、客户端 IP 地址与该设备的 GDID 进行深度绑定,并回传至微软服务器。
此次事件之前,GDID 的存在和功能一直未被广泛认知,公开的 MSDN 文档中也极少提及。
3 GDID 协助 FBI 跨国破案
在作案过程中,Stokes 全程使用了 VPN 来隐藏自己的真实 IP 地址,但他犯了一个致命的错误:使用了一台运行 Windows 系统的电脑。
FBI 追踪该黑客的逻辑链条如下:
锁定作案工具:调查人员发现黑客使用了一款名为 ngrok 的网络开发隧道工具来绕过被盗珠宝商的网络防御。
调取微软数据:根据微软向 FBI 提供的遥测记录,2025 年 5 月 12 日,一个特定的 GDID (编号:g:6755467234350028) 访问了 ngrok 的注册页面。微软将该 GDID 与其背后的真实 IP 历史记录一并提交给了执法部门。
交叉比对身份:获得该 GDID 绑定的脱敏 IP 历史记录后,FBI 将其与斯托克斯个人社交账号 (如 Snapchat、Apple、Facebook) 的登录 IP 进行了交叉比对。结果显示,该 GDID 对应的网络地址与斯托克斯在纽约、爱沙尼亚等地高级酒店发布 Snapchat 炫富动态的时间和地点高度吻合,从而构成了指控其本人的完美证据链。
4 隐私争议与深远影响
尽管 GDID 在本案中发挥了惩治网络犯罪的积极作用,但也引发了隐私倡导者和大量 Windows 用户的强烈担忧。
案件清晰地表明,如果操作系统本身在底层收集遥测数据,用户在应用层使用任何 VPN 或网络隐私保护工具都将失去匿名意义。
多位安全研究人员指出,微软此前并未在公众视野中明确说明 GDID 数据的收集范围与触发条件,也没有提供直观的 Opt-out 机制。微软在何种标准下会将这些底层数据共享给执法机构进行数据关联,目前依然缺乏足够的透明度报告。