- 19 yaşındaki Peter Stokes hakkında, Scattered Spider ile bağlantılı olduğu iddiasıyla açılan davada, FBI’ın Microsoft’un Global Device ID (GDID) kayıtlarını kullanarak bir Windows PC ile çevrimiçi etkinlikleri ilişkilendirdiği ortaya çıktı
- GDID, Windows kurulumunu Microsoft hizmetleri ve çeşitli senaryolar genelinde tanımlayan kalıcı cihaz düzeyinde bir tanımlayıcı; hem fiziksel cihazlar hem de sanal makineler için geçerli olabiliyor
- Ceza şikayetinde, 12 Mayıs 2025 saat 19:21 UTC’de Stokes’un bilgisayarıyla ilişkilendirilen GDID’nin ngrok kayıt sayfasına ve Tzulo sunucusundaki çeşitli sitelere eriştiğine dair kayıtlar yer alıyor
- GDID, Windows güncellemelerinden sonra korunuyor ancak yeniden kurulum yapıldığında yeni bir değere dönüşüyor; ayrıca bir Microsoft kullanıcısının birden fazla GDID’si olabiliyor
- Olay, üçüncü taraf tarayıcı çerezleri olmadan da Windows PC’lerdeki çevrimiçi etkinliklerin izlenebileceğine dair kaygıları artırdı ve bazı kullanıcılar GDID’yi görüntüleme veya kaldırma yollarını aramaya başladı
Tutuklama vakasında ortaya çıkan GDID kullanımı
- ABD, 19 yaşındaki Peter Stokes’u Avrupa’dan iade aldı; Stokes’un, hacker grubu Scattered Spider’ın bir üyesi olduğu iddia ediliyor
- Kamuya açık ceza şikayetinde Microsoft kayıtları, Stokes’u şüpheli hack suçlarıyla ilişkilendiren temel kanıt olarak kullanılıyor
- Stokes, Mayıs 2025’te adı açıklanmayan üst düzey bir mücevher perakendecisini hacklemekle suçlanıyor ve o sırada VPN kullandığı kaydedildi
- FBI, Microsoft kayıtları üzerinden onun IP adresinin, Global Device ID (GDID) adlı Microsoft cihaz tanımlayıcısıyla ilişkili olduğunu doğruladı
GDID neyi tanımlıyor?
- Şikayette alıntılanan Microsoft açıklamasına göre GDID, Windows ekosisteminde kullanılan kalıcı cihaz düzeyinde bir tanımlayıcı olarak tanımlanıyor
- Bu tanımlayıcı, Windows işletim sistemi kurulumlarını benzersiz biçimde ayırt etmek için tasarlandı
- Dizüstü bilgisayar veya telefon gibi fiziksel cihazlar bunun kapsamına girebilir
- Sanal makineler de buna dahil
- Belirli Microsoft hizmetleri ve çeşitli senaryolar genelinde kullanılır
- Hesaplara veya cihazlara benzersiz kimlik verilmesi yaygın bir uygulama olsa da, bu vakada GDID’nin üçüncü taraf hizmetlere erişim kayıtları ve zaman damgalarıyla da ilişkilendirilebildiği görüldü
Çevrimiçi etkinlikle ilişkilendirilen kayıtlar
- Stokes, mücevher perakendecisinin ağ savunmalarını aşmak için web geliştirme aracı ngrok’u kötüye kullanmakla suçlanıyor
- Microsoft kayıtlarında, 12 Mayıs 2025 saat 19:21 UTC’de Stokes’un bilgisayarıyla ilişkilendirilen GDID’nin
https://dashboard[.]ngrok.com/signupadresine eriştiği görülüyor- Bu URL, ngrok hesabı oluşturma sayfası
- Aynı GDID’nin başka ngrok sayfalarına da eriştiği kaydedildi
- Belgelerde ayrıca bu GDID’nin, saldırının yürütülmesine yardımcı olmak için web barındırma sağlayıcısı Tzulo’nun sunucularındaki “çeşitli sitelere” eriştiği de yer alıyor
- Şikayette Stokes’un PC’sine ait GDID 6755467234350028 olarak belirtiliyor
İzlenebilirlik ve kullanıcı tepkisi
- Federal soruşturmacıların, Microsoft tanımlayıcısı üzerinden şüpheli bir hackeri tespit etmiş olması, gözetim amacıyla kötüye kullanım endişelerini artırdı
- Siber güvenlik uzmanı Matthew Hickey, X’te “Microsoft Windows is surveillance software” ifadesini kullandı
- GDID, Microsoft’un bir destek sayfasında kısaca anılıyor ancak şirket bunun dışında kamuya açık ayrıntılı bir açıklama yapmış değil
- Bazı kullanıcılar GDID tanımlayıcısını sınırlamanın veya silmenin yollarını araştırmaya başladı
Yeniden kurulum ve diğer platformlara dair açık sorular
- Şikayete göre GDID, aynı cihazdaki Windows işletim sistemi güncellemelerinden sonra da korunuyor
- Windows aynı cihaza ya da başka bir cihaza yeniden kurulduğunda, yeni ve benzersiz bir GDID ilişkilendiriliyor
- Şikayetin dipnotunda, tek bir Microsoft kullanıcısının birden fazla GDID’ye sahip olabileceği belirtiliyor
- Siber güvenlik araştırmacısı Costin Raiu, benzersiz tanımlayıcıların kullanımından yola çıkarak diğer teknoloji şirketlerinin de benzer gözetim kabiliyetlerine sahip olup olmadığını sorguluyor
- Bunun Apple cihazlarında da benzer ölçekte olup olmadığı
- Yeniden kurulumdan bağımsız olarak donanıma bağlı bir düzeyde olup olmadığı
- Tam anonimlik isteniyorsa geliştirme ortamlarında Linux, FreeBSD gibi sistemlerin ve proxy, Tor, VPN gibi araçların gerekebileceğini söylüyor
1 yorum
Hacker News yorumları
İlginç olan, cihaz tanımlayıcısı diye bir şeyin var olması değil. Neredeyse tüm modern işletim sistemlerinde buna benzer bir şey var. Asıl büyük soru sınırlar. Hangi bileşenlerin erişebildiği ve yerel bir tanımlayıcının ne zaman uzaktan izleme tanımlayıcısına dönüştüğü. Diskte duran bir machine-id ile işletim sistemi satıcısının bunu ağ etkinliğiyle ilişkilendirmesi tamamen farklı şeyler.
Bu, Microsoft'un uç noktada bir tür trafik analizi yaptığı ve bunu GDID ile ilişkilendirdiği anlamına geliyor gibi görünüyor. Muhtemelen Defender'ın gerçek zamanlı korumasının veya MAPS'in bir parçası. İlginç bir bilgi: Microsoft Defender MAPS'in eski adı SpyNet'ti. https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Ancak GDID tanımlayıcısı yazılımsal nitelikte görünüyor. Daha agresif olmak isterlerse, bazı oyunlar gibi anakart seri numarasına bağlayabilirler. O zaman Windows kurulum örneği düzeyinde değil, donanımın tüm yaşam döngüsü boyunca izleme yapılır.
Yakında bu şüphelinin tanımlayıcısını “g:6755467234350028” olarak değiştiren bir Windows aracı çıkacak gibi. Bu arada garip bir ID. 16 hane olmasını anlıyorum ama onaltılık olmasını beklerdim. Ayrıca “Microsoft kayıtlarına göre 12 Mayıs 2025 saat 19:21 UTC'de Stokes'un bilgisayarıyla ilişkilendirilen GDID, çeşitli ngrok sayfalarından 'https://dashboard[.]ngrok.com/signup' adresine erişti” ifadesinin nasıl çalıştığını merak ediyorum. Bunu tarayıcı Microsoft'a gönderiyorsa, PC'nin açtığı her web sayfası için Microsoft'a bağlandığını biri fark etmez miydi? Yoksa verileri biriktirip daha sonra mı gönderiyor? Öyleyse bu, Microsoft tarayıcısı kullanıcılarını mı “sınırlı” ölçüde etkiliyor? Yoksa Chrome da aynı şekilde Google'a veri mi gönderiyor? Diğer olasılık bunun daha düşük bir katmanda gerçekleşmesi; sistem bileşenlerinin alan adına erişebileceği yerler aklıma geliyor ama tam URL'yi görebilecekleri yeri pek bilmiyorum.
Bu, Microsoft'un çerez onayı ekranının başlığında ne iddia ederse etsin gizliliği umursamadığını oldukça güçlü biçimde gösteriyor. Hiç umursamıyor; bunu tüm büyük teknoloji sağlayıcıları için söylemek gerekiyor. Klişe gelse de artık söylenmesi gerekeni söylemenin zamanı. Sizin gizliliğinizi, bağımsızlığınızı, iyiliğinizi umursamıyorlar. Gerçekten umursamıyorlar.
Bu çocuk kendi evinde kendi bilgisayarını kullanmış, onu IP adresinden izlemişler ve o IP adresi Windows Updates istekleri de göndermiş. Böylece Device ID daraltılmış ve o cihaz ID'si bu çocuğa götürmüş. Gizlilik savunucularının sürekli uyardığı şey tam da bu türden bir durum. Bu kabiliyet, pratikte tüm gizlilik iddialarını ortadan kaldırıyor. Dahası, Google gibi şirketler bunu kullanarak gizlilik beklentisinin kendisini tamamen yok etti.
Yazı muğlak. Microsoft’un, kullanıcının Chrome veya Firefox’ta hangi web sayfalarını ziyaret ettiğini görebildiğine dair kanıt yok
Bu, Avrupa gizlilik yasalarının ihlali değil mi?
Kulağa çılgınca gelebilir ama bu tür telemetrinin, son birkaç yılda VPN reklamlarının devasa ve organize biçimde pompalanmasının arka planıyla somehow bağlantılı olduğuna eminim “Piyasanın görünmez eli” giderek kelimenin tam anlamıyla güç ve sermaye sahibi birkaç dev grubun eli gibi görünmeye başladı. Tüm piyasanın ekonomik yapısını şekillendirip fiilen kontrol ediyor, eğimi belirleyerek şirketlerin kayıpları optimize etmesini sağlıyorlar VPN’ler, takip kabiliyetini doğrudan artıran spyware olabilir ya da artık IP olmadan da takip edebildikleri için, kullanıcı korkusundan para kazanırken takibi sürdürmek amacıyla sunuluyor olabilir Daha geniş açıdan bakınca, serbest piyasa ya da demokrasiden pek bir şey kalmamış gibi görünüyor. Artık tüm hükümetler de gizliliği ortadan kaldırmak için organize biçimde bastırıyor
ABD teknoloji sektörü hızla Rusya ve Çin’e benziyor
Massgrave.dev geliştiricilerinin GDID mekanizmasının bir kısmını açıkladığı ilgili thread https://x.com/massgravel/status/2074304593303892354