目录

Windows GDID 协助 FBI 抓获黑客

AI 辅助创作声明
本文由 AI 辅助创作,内容仅供参考,请读者自行核实其真实性和可靠性。

近日,美国司法部联合联邦调查局成功引渡并起诉了 19 岁的少年 Peter Stokes。据起诉书1显示,微软的 Windows 全局设备标识符 (GDID, Global Device Identifier) 成为破案的关键,直接穿透了黑客用来隐匿行踪的 VPN,引发了网络安全界与公众对操作系统隐私追踪技术的广泛关注。

根据法庭解密文件,拥有美国和爱沙尼亚双重国籍的 19 岁嫌疑人 Peter Stokes 是全球臭名昭著的网络犯罪团伙 Scattered Spider 的疑似核心成员。

  • 作案过程:2025 年 5 月,Stokes 等人通过电话钓鱼手段,欺骗了一家美国跨国奢侈品珠宝商的 IT 帮助台,在数小时内成功获取了企业内部的高级管理员权限。

  • 勒索金额:黑客窃取数据后勒索高达 800 万美元的加密货币赎金。虽然该企业将黑客踢出网络且拒绝支付,但仍遭受了约 200 万美元的破坏损失。

  • 落网经过:2026 年 4 月,Stokes 在芬兰赫尔辛基准备登机飞往日本时被当地警方逮捕,随身携带两块 2TB 硬盘。他随后被引渡至美国,并于 2026 年 6 月底在芝加哥联邦法院首次出庭受审。

此次案件的最大焦点并非黑客的高超技术或者传奇经历,而是将其行踪彻底暴露的微软 Windows 遥测机制 —— GDID

GDID (Global Device Identifier) 是微软为每一个 Windows 操作系统安装实例分配的唯一持久标识符。它主要作为 Windows 遥测子系统的一部分,用于跨微软服务识别特定设备。

与 IP 地址或浏览器的 Cookie 不同,GDID 深入操作系统底层。它不受任何 VPN、网络代理或常规系统更新的影响。除非用户对计算机进行彻底的格式化并重新全新安装 Windows 操作系统,否则该标识符将始终保持不变。

从本案披露的细节来看,微软的遥测系统不仅记录设备的硬件或健康状态,还会将特定的网络活动记录 (例如访问某些特定的 URL)、客户端 IP 地址与该设备的 GDID 进行深度绑定,并回传至微软服务器。

此次事件之前,GDID 的存在和功能一直未被广泛认知,公开的 MSDN 文档中也极少提及。

在作案过程中,Stokes 全程使用了 VPN 来隐藏自己的真实 IP 地址,但他犯了一个致命的错误:使用了一台运行 Windows 系统的电脑。

FBI 追踪该黑客的逻辑链条如下:

  1. 锁定作案工具:调查人员发现黑客使用了一款名为 ngrok 的网络开发隧道工具来绕过被盗珠宝商的网络防御。

  2. 调取微软数据:根据微软向 FBI 提供的遥测记录,2025 年 5 月 12 日,一个特定的 GDID (编号:g:6755467234350028) 访问了 ngrok 的注册页面。微软将该 GDID 与其背后的真实 IP 历史记录一并提交给了执法部门。

  3. 交叉比对身份:获得该 GDID 绑定的脱敏 IP 历史记录后,FBI 将其与斯托克斯个人社交账号 (如 Snapchat、Apple、Facebook) 的登录 IP 进行了交叉比对。结果显示,该 GDID 对应的网络地址与斯托克斯在纽约、爱沙尼亚等地高级酒店发布 Snapchat 炫富动态的时间和地点高度吻合,从而构成了指控其本人的完美证据链。

尽管 GDID 在本案中发挥了惩治网络犯罪的积极作用,但也引发了隐私倡导者和大量 Windows 用户的强烈担忧。

案件清晰地表明,如果操作系统本身在底层收集遥测数据,用户在应用层使用任何 VPN 或网络隐私保护工具都将失去匿名意义。

多位安全研究人员指出,微软此前并未在公众视野中明确说明 GDID 数据的收集范围与触发条件,也没有提供直观的 Opt-out 机制。微软在何种标准下会将这些底层数据共享给执法机构进行数据关联,目前依然缺乏足够的透明度报告。