- ในคดีของ Peter Stokes วัย 19 ปี ซึ่งถูกกล่าวหาว่าเกี่ยวข้องกับ Scattered Spider มีการเปิดเผยว่า FBI ใช้บันทึก Global Device ID(GDID) ของ Microsoft เพื่อเชื่อมโยง Windows PC กับกิจกรรมออนไลน์
- GDID เป็น ตัวระบุถาวรระดับอุปกรณ์ ที่ใช้ระบุการติดตั้ง Windows ในบริการและสถานการณ์ต่าง ๆ ของ Microsoft และอาจใช้ได้ทั้งกับอุปกรณ์จริงและเครื่องเสมือน
- คำฟ้องอาญาระบุบันทึกว่า GDID ที่เชื่อมโยงกับคอมพิวเตอร์ของ Stokes ได้เข้าถึง หน้าสมัคร ngrok และหลายไซต์บนเซิร์ฟเวอร์ของ Tzulo เมื่อวันที่ 12 พฤษภาคม 2025 เวลา 19:21 UTC
- GDID จะยังคงอยู่หลังอัปเดต Windows แต่จะเปลี่ยนเป็นค่าใหม่เมื่อมีการติดตั้งใหม่ และผู้ใช้ Microsoft หนึ่งรายอาจมี GDID หลายค่า ได้
- คดีนี้เพิ่มความกังวลว่ากิจกรรมออนไลน์ของ Windows PC อาจถูกติดตามได้แม้ไม่มีคุกกี้เบราว์เซอร์จากบุคคลที่สาม และผู้ใช้บางส่วนเริ่มค้นหาวิธีตรวจสอบและลบ GDID
การใช้ GDID ที่ถูกเปิดเผยในคดีจับกุม
- สหรัฐฯ ได้ส่งตัว Peter Stokes วัย 19 ปีจากยุโรปกลับประเทศ โดยเขาถูกกล่าวหาว่าเป็นสมาชิกของกลุ่มแฮ็ก Scattered Spider
- ในคำฟ้องอาญาที่เผยแพร่ต่อสาธารณะ บันทึกของ Microsoft ถูกใช้เป็นหลักฐานสำคัญในการเชื่อมโยง Stokes กับอาชญากรรมแฮ็กที่ต้องสงสัย
- Stokes ถูกกล่าวหาว่าแฮ็กผู้ค้าปลีกเครื่องประดับหรูรายหนึ่งที่ไม่ได้เปิดเผยชื่อในเดือนพฤษภาคม 2025 และมีบันทึกว่าเขาใช้ VPN ในช่วงเวลานั้น
- FBI ตรวจสอบผ่านบันทึกของ Microsoft ว่า IP address ของเขาเชื่อมโยงกับตัวระบุอุปกรณ์ของ Microsoft ที่เรียกว่า Global Device ID(GDID)
GDID ระบุอะไร
- ในคำอธิบายจาก Microsoft ที่ถูกอ้างในคำฟ้อง GDID ถูกนิยามว่าเป็น ตัวระบุถาวรระดับอุปกรณ์ ของระบบนิเวศ Windows
- ตัวระบุนี้ถูกออกแบบมาเพื่อแยกแยะการติดตั้งระบบปฏิบัติการ Windows อย่างไม่ซ้ำกัน
- อาจครอบคลุม อุปกรณ์จริง เช่น แล็ปท็อปหรือโทรศัพท์
- รวมถึงเครื่องเสมือนด้วย
- ใช้ในบริการและสถานการณ์บางอย่างของ Microsoft
- การกำหนด ID เฉพาะให้บัญชีหรืออุปกรณ์เป็นแนวปฏิบัติทั่วไป แต่คดีนี้เผยให้เห็นว่า GDID สามารถเชื่อมโยงกับ บันทึกการเข้าถึงบริการของบุคคลที่สาม รวมถึงช่วงเวลาได้
บันทึกที่เชื่อมโยงกับกิจกรรมออนไลน์
- Stokes ถูกกล่าวหาว่าใช้เครื่องมือพัฒนาเว็บ ngrok ในทางที่ผิด เพื่อหลบเลี่ยงการป้องกันเครือข่ายของผู้ค้าปลีกเครื่องประดับ
- บันทึกของ Microsoft ระบุว่า GDID ที่เชื่อมโยงกับคอมพิวเตอร์ของ Stokes ได้เข้าถึง
https://dashboard[.]ngrok.com/signupเมื่อวันที่ 12 พฤษภาคม 2025 เวลา 19:21 UTC- URL ดังกล่าวเป็นหน้าสำหรับตั้งค่าบัญชี ngrok
- GDID เดียวกันยังถูกบันทึกว่าเข้าถึงหน้า ngrok อื่น ๆ ด้วย
- เอกสารยังระบุว่า GDID นี้ได้เข้าถึง “หลายไซต์” บนเซิร์ฟเวอร์ของผู้ให้บริการเว็บโฮสติ้ง Tzulo เพื่อช่วยดำเนินการแฮ็ก
- GDID ของ PC ของ Stokes ที่แสดงในคำฟ้องคือ 6755467234350028
ความเป็นไปได้ในการติดตามและปฏิกิริยาของผู้ใช้
- การที่เจ้าหน้าที่สืบสวนของรัฐบาลกลางระบุตัวแฮกเกอร์ต้องสงสัยด้วยตัวระบุของ Microsoft ทำให้ความกังวลเรื่อง การนำไปใช้ในทางที่ผิดเพื่อการสอดส่อง เพิ่มขึ้น
- Matthew Hickey ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์กล่าวบน X ว่า “Microsoft Windows is surveillance software”
- GDID ถูกกล่าวถึงสั้น ๆ ในหน้าสนับสนุนหน้าหนึ่งของ Microsoft แต่ Microsoft ยังไม่ได้อธิบายต่อสาธารณะเพิ่มเติม
- ผู้ใช้บางส่วนเริ่มสำรวจวิธี จำกัดหรือลบ ตัวระบุ GDID
การติดตั้งใหม่และคำถามที่ยังเหลือเกี่ยวกับแพลตฟอร์มอื่น
- ตามคำฟ้อง GDID จะยังคงอยู่หลังการอัปเดตระบบปฏิบัติการ Windows บนอุปกรณ์เดิม
- หาก ติดตั้ง Windows ใหม่ บนอุปกรณ์เดิมหรืออุปกรณ์อื่น จะมี GDID เฉพาะค่าใหม่เชื่อมโยงเข้ามา
- เชิงอรรถในคำฟ้องระบุว่าผู้ใช้ Microsoft หนึ่งรายอาจมี GDID หลายค่าได้
- Costin Raiu นักวิจัยด้านความปลอดภัยไซเบอร์ตั้งคำถามว่า จากการใช้ตัวระบุเฉพาะ บริษัทเทคโนโลยีอื่น ๆ มีความสามารถในการสอดส่องลักษณะคล้ายกันหรือไม่
- เกิดขึ้นในระดับเดียวกันบนอุปกรณ์ Apple หรือไม่
- ผูกกับฮาร์ดแวร์ในระดับที่ไม่ขึ้นกับการติดตั้งใหม่หรือไม่
- เขากล่าวว่าหากต้องการความไม่เปิดเผยตัวตนอย่างสมบูรณ์ อาจจำเป็นต้องใช้ Linux, FreeBSD ฯลฯ ในสภาพแวดล้อมพัฒนา และผ่านพร็อกซี, Tor, VPN เป็นต้น
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ประเด็นที่น่าสนใจไม่ใช่ตัวข้อเท็จจริงว่ามี ตัวระบุอุปกรณ์ อยู่ เพราะแทบทุกระบบปฏิบัติการสมัยใหม่ก็มีสิ่งคล้ายกัน คำถามที่ใหญ่กว่าคือขอบเขต: องค์ประกอบใดเข้าถึงได้บ้าง และเมื่อใดที่ตัวระบุภายในเครื่องกลายเป็นตัวระบุสำหรับการติดตามจากระยะไกล machine-id ที่วางอยู่บนดิสก์ กับการที่ผู้ผลิตระบบปฏิบัติการนำมันไปเชื่อมโยงกับกิจกรรมเครือข่าย เป็นคนละเรื่องกันโดยสิ้นเชิง
เรื่องนี้ดูเหมือนหมายความว่า Microsoft ทำ การวิเคราะห์ทราฟฟิก บางรูปแบบที่เอนด์พอยต์ และเชื่อมโยงมันกับ GDID อาจเป็นส่วนหนึ่งของการป้องกันแบบเรียลไทม์ของ Defender หรือ MAPS ข้อเท็จจริงที่น่าสนใจคือ Microsoft Defender MAPS เคยมีชื่อเดิมว่า SpyNet https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... อย่างไรก็ตาม ตัวระบุ GDID ดูเป็นลักษณะซอฟต์แวร์ หากจะทำให้รุกหนักกว่านี้ ก็อาจผูกกับหมายเลขซีเรียลเมนบอร์ดเหมือนบางเกมได้ แบบนั้นจะติดตามตลอดวงจรชีวิตของฮาร์ดแวร์ ไม่ใช่แค่ระดับอินสแตนซ์การติดตั้ง Windows
เดี๋ยวคงมีเครื่องมือ Windows ที่เปลี่ยนตัวระบุของผู้ต้องสงสัยรายนี้เป็น “g:6755467234350028” ออกมาแน่ ๆ ว่าแต่เป็น ID ที่แปลกดี เข้าใจได้ว่าเป็น 16 หลัก แต่ผมนึกว่าจะเป็นเลขฐานสิบหก อีกอย่าง ผมสงสัยว่าข้อความ “ตามบันทึกของ Microsoft เมื่อวันที่ 12 พฤษภาคม 2025 เวลา 19:21 UTC GDID ที่เชื่อมโยงกับคอมพิวเตอร์ของ Stokes เข้าถึง 'https://dashboard[.]ngrok.com/signup' ซึ่งเป็นหนึ่งในหลายหน้า ngrok” มันทำงานอย่างไร ถ้าเป็นเบราว์เซอร์ส่งข้อมูลนั้นให้ Microsoft ก็น่าจะมีคนสังเกตเห็นแล้วไม่ใช่หรือว่า PC ติดต่อ Microsoft ทุกครั้งที่เปิดหน้าเว็บทุกหน้า? หรือเป็นแบบรวบรวมข้อมูลไว้แล้วค่อยส่งภายหลัง? ถ้าอย่างนั้น เรื่องนี้ส่งผล “อย่างจำกัด” เฉพาะผู้ใช้เบราว์เซอร์ของ Microsoft หรือเปล่า? หรือ Chrome ก็ส่งข้อมูลให้ Google ในลักษณะเดียวกันด้วย? ความเป็นไปได้อีกอย่างคือเกิดขึ้นในเลเยอร์ที่ต่ำกว่า ซึ่งพอนึกออกว่าคอมโพเนนต์ของระบบจะเข้าถึงชื่อโดเมนได้ที่ไหน แต่ไม่แน่ใจว่าจุดไหนจะเห็น URL เต็มได้
เรื่องนี้แสดงให้เห็นค่อนข้างชัดว่า Microsoft ไม่ได้สนใจ ความเป็นส่วนตัว ไม่ว่าหัวข้อในหน้าขอความยินยอมคุกกี้จะอ้างว่าอย่างไรก็ตาม ไม่สนใจเลย และนี่เป็นสิ่งที่ต้องพูดกับผู้จำหน่าย Big Tech ทุกราย แม้จะฟังดูซ้ำซาก แต่ตอนนี้ถึงเวลาต้องพูดในสิ่งที่ควรพูดแล้ว พวกเขาไม่สนใจความเป็นส่วนตัว ความเป็นอิสระ หรือความอยู่ดีมีสุขของคุณ จริง ๆ แล้วไม่สนใจเลย
เด็กคนนี้ใช้คอมพิวเตอร์ของตัวเองที่บ้านของตัวเอง พวกเขาตามรอยด้วยที่อยู่ IP และที่อยู่ IP นั้นก็ส่งคำขอ Windows Updates ด้วย จากนั้นจึงจำกัดวงไปถึง Device ID และ ID อุปกรณ์นั้นก็นำไปสู่เด็กคนนี้ นี่แหละคือสิ่งแบบที่ผู้สนับสนุนความเป็นส่วนตัวเตือนมาตลอด ความสามารถแบบนี้ลบล้างคำกล่าวอ้างเรื่องความเป็นส่วนตัวแทบทั้งหมด ยิ่งไปกว่านั้น บริษัทอย่าง Google ยังใช้สิ่งนี้ทำให้ความคาดหวังเรื่องความเป็นส่วนตัวหมดสิ้นไปโดยสิ้นเชิง
ข้อความเขียนคลุมเครือ ไม่มีหลักฐานว่า Microsoft สามารถเห็นได้ว่าผู้ใช้เข้าเว็บเพจใดใน Chrome หรือ Firefox
แบบนี้ไม่ละเมิด กฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป เหรอ?
อาจฟังดูบ้าบอ แต่ผมมั่นใจว่าการที่โฆษณา VPN ถูกผลักดันอย่างมหาศาลและเป็นระบบในช่วงหลายปีที่ผ่านมา somehow มีความเชื่อมโยงกับ telemetry ประเภทนี้ ยิ่งนานไป “มือที่มองไม่เห็นของตลาด” ก็ดูเหมือนจะเป็นมือของกลุ่มยักษ์ใหญ่ไม่กี่กลุ่มที่มีอำนาจและทุนอย่างแท้จริง พวกเขาปั้นโครงสร้างเศรษฐกิจของทั้งตลาดจนแทบจะควบคุมได้ และสร้างความเอียงที่ทำให้บริษัทต่าง ๆ ต้องปรับให้เหมาะกับการขาดทุน VPN อาจเป็นสปายแวร์ที่เพิ่มความสามารถในการติดตามโดยตรง หรืออาจถูกเสนอมาเพื่อทำเงินจากความกลัวของผู้ใช้พร้อมกับติดตามต่อไป เพราะตอนนี้สามารถติดตามได้แม้ไม่มี IP แล้ว มองกว้างขึ้น ก็แทบไม่เหลือตลาดเสรีหรือประชาธิปไตยมากนัก ตอนนี้รัฐบาลทุกแห่งก็กำลังผลักดันอย่างเป็นระบบเพื่อกำจัดความเป็นส่วนตัว
อุตสาหกรรมเทคโนโลยีของสหรัฐฯ กำลังกลายเป็นแบบรัสเซียและจีนอย่างรวดเร็ว
นี่เป็นเธรดที่เกี่ยวข้องซึ่งนักพัฒนา Massgrave.dev อธิบายบางส่วนของ กลไก GDID https://x.com/massgravel/status/2074304593303892354