В продължение на години Microsoft присвояваше на компютрите с Windows скрит идентификатор, който се запазваше след актуализациите на системата и позволяваше да се разграничават отделните инсталации. За съществуването на Global Device Identifier, или GDID стана широко известно едва след като американските прокурори разкриха подробности от разследването срещу предполагаем член на хакерската групировка Scattered Spider.
Разследващите твърдят, че въпросният идентификатор е помогнал на ФБР да проследи заподозрения през сменящи се VPN сървъри, прокси сървъри и връзки от различни държави. IP адресите редовно се сменяха, но Windows продължаваше да предава на услугите на Microsoft един и същ GDID. Тази цифрова следа позволи да се свържат разпръснатите сесии с конкретна инсталация на операционната система.
GDID се създава при настройката на Windows с акаунт в Microsoft. Няколко системни услуги изискват идентификатора от сървърите на компанията, регистрират компютъра в каталога с устройства и след това използват получената стойност при работа с актуализации, магазина за приложения и други услуги.
Идентификаторът се съхранява в системния регистър на Windows на адрес „HKCUSOFTWAREMicrosoftIdentityCRLExtendedProperties“. Стойността започва с малка буква „g“, следвана от дълго число. Обикновеният потребител няма да види GDID в системните настройки и няма да получи уведомление при създаването на идентификатора.Microsoft по-рано споменаваше GDID в документацията на Azure Monitor, но се ограничаваше с формулировката „идентификатор, който Microsoft използва за вътрешни цели“. По-подробно описание се появи в материалите по наказателното дело. Представител на компанията определи GDID като постоянен идентификатор на ниво устройство, който позволява разпознаването на конкретна инсталация на Windows в отделни услуги и сценарии на Microsoft.
Според данните на прокуратурата ФБР е използвало GDID при разследването на дейността на Питър Стоукс, който се счита за член на Scattered Spider. Разследващите са наблюдавали предполагаемата му активност в продължение на около 7 месеца и са съпоставяли техническите данни с акаунти в социални мрежи, игрови услуги и екосистеми на големи технологични компании.
В материалите по делото фигурира идентификаторът g:6755467234350028. Разследването го е засякло на страницата за регистрация на услугата ngrok приблизително в момента, когато свързаният с атаката потребител е създавал акаунт чрез VPN прокси Tzulo. Три часа по-късно същият GDID се появи при посещение на сайта на компанията, станала мишена на злоумишлениците като връзката отново премина през същия прокси. ФБР съпостави идентификатора с IP адресите, свързани с акаунтите на Стоукс в Snapchat, Facebook, Apple и Ubisoft. Връзките са били регистрирани в Естония, САЩ, Тайланд и други държави. Снимките от публичния профил в Snapchat, според версията на разследващите са съвпаднали с хотелски резервации, маршрути на пътувания и места, където е бил забелязан компютър със същия GDID.
Разследването разкри слабо място в обичайния модел на анонимност чрез промяна на IP адреса. VPN скрива изходния адрес на потребителя от посещавания уебсайт, но не пречи непременно на самата операционна система да обменя служебни данни с разработчика. Ако Windows продължава да предоставя на Microsoft постоянен идентификатор, новите VPN-сървъри не прекъсват връзката между отделните сесии. След чиста преинсталация на Windows системата създава нов GDID. Въпреки това, пълното прекъсване на предишната връзка може да не се получи. Влизането в същия акаунт в Microsoft, възстановяването на OneDrive и данните за активация позволяват на компанията да съпостави новата инсталация с предишната история на устройството.
Изследователите са загрижени не само от техническата възможност за проследяване, но и от липсата на ясни настройки. Windows не показва отделен прозорец за съгласие, не обяснява предназначението на GDID и не предлага бутон за нулиране на идентификатора. Apple и Google позволяват на потребителите да управляват рекламните идентификатори, докато механизмът на Microsoft работи скрито и е свързан със системни функции.
Според специалистите блокирането на услугите, участващи в създаването и предаването на GDID може да наруши активирането на Windows и работата на програмите от Microsoft Store. Затова не е възможно идентификаторът да бъде деактивиран с обикновен превключвател без последствия. Microsoft също така не е съобщила за планове да добави отделни настройки или подробна документация за потребителите.
Обемът на свързаната телеметрия може да се намали чрез раздела „Поверителност и сигурност“ в настройките на Windows. Системата позволява да се деактивират незадължителните диагностични данни, персонализираната реклама, проследяването на стартирането на приложения, историята на действията и търсенето в облака. Локалният акаунт също намалява броя на връзките с услугите на Microsoft, въпреки че новите версии на Windows 11 все по-настойчиво изискват авторизация по време на инсталирането.
Няма как да се скриете напълно от идентификация само с помощта на комерсиален VPN. Операционната система, браузърът, приложенията и облачните акаунти оставят свои собствени следи, които могат да бъдат съпоставени помежду си. Делото Scattered Spider се превърна в рядък публичен пример за това колко подробно Microsoft е в състояние да идентифицира отделна инсталация на Windows и да предава свързаната информация на правоохранителните органи при законно искане. Microsoft все още не е разкрила на кои версии на Windows работи GDID, кои точно услуги получават идентификатора и колко дълго компанията съхранява историята на заявките. Най-подробното публично описание на механизма все още се съдържа не в потребителската документация, а във федералната жалба срещу предполагаемия хакер.