[回到版面]
回應模式
名 稱
內 文
附加圖檔[] [] []
類別標籤(請以 , 逗號分隔多個標籤)
  • 可附加圖檔類型:GIF, JPG, JPEG, PNG, WEBM,瀏覽器才能正常附加圖檔
  • 附加圖檔最大上傳資料量為 5120 KB。
  • 當檔案超過寬 125 像素、高 125 像素時會自動縮小尺寸顯示
  • AA可使用 [aa][/aa] 防止變形
  • 鬧板、攻擊性發言、煽動性發言請無視(回應者也無視),並使用del向管理員回報。


展開設定區塊





檔名:1783764459912.png-(514 KB, 943x789)
514 KB
Windows 的遙測功能幫助FBI抓捕駭客無名2026/07/11(六) 18:07:39.966 ID:hhqKih0ENo.30630742del
2026年4月,一名19歲的年輕人帶著兩塊2TB的硬碟和一張飛往日本的機票出現在赫爾辛基機場。他最後沒能趕上那趟航班。芬蘭警方根據國際刑警組織的紅色通緝令將其攔下。到了7月,美國檢察官公佈了一份聯邦起訴書,確認此人是彼得·斯托克斯(Peter Stokes),據稱是「散落蜘蛛」(Scattered Spider)黑客組織的成員。該組織因涉嫌於2025年5月入侵一家美國奢侈珠寶零售商的系統並勒索800萬美元而被通緝。

我們仔細研讀了這份長達39頁的起訴書,並將其與獨立逆向工程對Windows如何產生和傳輸該標識符的分析結果進行了交叉驗證,並在新聞曝光後對其中的技術說法進行了事實核查。以下是關於GDID你需要了解的一切,包括它如何抓獲了斯托克斯,以及如果你是16億Windows電腦用戶中的一員,它意味著什麼。

什麼是 GDID?它從何而來?

訴狀引述微軟代表的話,將 GDID 描述為「一種持久的設備級標識符,旨在唯一標識設備上安裝的 Windows 作業系統,該設備可以是實體設備(例如手機或筆記型電腦)或虛擬機,並適用於某些微軟服務和場景」。

全域裝置 ID (GDID) 是一個永久的、唯一的數位指紋,當您安裝 Windows 或登入微軟帳戶時,微軟會自動將其指派給您的電腦。

微軟使用 GDID 來管理軟體授權和 Windows 應用程式商店應用,但由於它會將您在該電腦上的所有線上活動關聯到單一身份,執法部門可以利用它在互聯網上追蹤設備的真正所有者。

GDID 會在 Windows 更新後仍然存在。但它不會在全新安裝系統後仍然存在,微軟在訴狀中的腳註也承認,「一個微軟用戶在單一帳戶的生命週期內可能擁有多個 GDID」。

微軟解釋了 GDID 的作用,但沒有說明它在 Windows 系統中的具體位置。為此,獨立研究人員不得不進行逆向工程,因為微軟在 Azure Monitor 的交付最佳化報告參考文件中僅發布了一句話關於 GDID,其中名為 GlobalDeviceId 的列僅被描述為“Microsoft 全域裝置識別碼。這是 Microsoft 內部使用的識別碼。”

Windows 如何產生 GDID

當 Windows 使用 Microsoft 帳戶配置裝置時,名為 wlidsvc 的系統服務會與 login.live.com 通信,並在伺服器的 SOAP 回應中取得 Microsoft 所稱的裝置 PUID(Passport 唯一 ID)。該 ID 由伺服器分配。 Windows 不會從您電腦上的任何位置本機計算 PUID。它接收一個字串並將其儲存。

簡單來說:使用 Microsoft 帳戶登入 Windows 後,伺服器會為您的 Windows 安裝指派永久 ID 號碼。 Windows 會將 ID 號碼儲存在本機,多個後台服務會讀取該 ID 號,並且該 ID 號會被加入到您的電腦向 Microsoft 報告的活動中。

重裝 Windows 系統後會獲得一個新的號碼,但微軟自身的記錄足以證明,新號碼與舊號碼之間存在關聯,因為它們都使用同一個帳戶、OneDrive 和激活歷史,這與斯托克斯的遭遇非常相似。

FBI 如何利用 GDID 抓獲斯托克斯

斯托克斯之所以落網,是因為他所有操作都使用同一台 Windows 設備,而 GDID 在事後將所有資訊拼湊了起來。

「散落蜘蛛」組織的成員使用 Google Voice 號碼致電這家珠寶零售商的 IT 服務台,冒充被鎖定的員工,並誘使支援人員重置了三個帳戶,其中兩個帳戶擁有管理員權限。之後,他們安裝了一個名為 ngrok 的隧道工具來繞過零售商的網路防禦,使用 ngrok 和另一個名為 Teleport 的工具將大約 77 GB 的數據遷移到亞馬遜雲存儲,嘗試部署勒索軟體但失敗,然後發送了一封主題為「重要:我們竊取了數據,請立即聯繫」的勒索郵件。

微軟的記錄顯示,就在同一分鐘,一台搭載 GDID g:6755467234350028 的 Windows 裝置造訪了 ngrok 的註冊頁面。三小時後,同一 GDID 透過與註冊 ngrok 帳戶時相同的 Tzulo 代理地址訪問了該零售商的網站。這讓 FBI 發現了一台設備,該設備的 IP 位址不會像 VPN 出口節點那樣輪換。

調查由此展開,開始逐一整理線索。探員們掌握了該設備使用過的所有 IP 位址的時間線後,將其與檢察官先前懷疑屬於斯托克斯的已知帳戶登入記錄進行交叉比對:

2024 年 6 月 4 日,該 GDID 對應的設備使用了位於愛沙尼亞塔林的 IP 位址,而斯托克斯就居住在那裡。同一 IP 位址在四分鐘前登入了他的 Snapchat 帳戶,並在大約 80 分鐘後登入了他的 Facebook 帳戶。

2024年11月17日和18日,同一台設備出現在紐約的IP位址上,該位址與斯托克斯的一個蘋果帳戶和Snapchat帳戶的登入記錄相符。

2025年2月2日,該設備出現在泰國的IP位址上,該位址再次與他的蘋果帳戶和Snapchat帳戶的登入記錄相符。

2025年1月8日,同一台裝置再次出現在愛沙尼亞的一個IP位址上,並登入了手機遊戲《Growtopia》。

當然,單獨來看,所有這些活動似乎都沒有什麼可疑之處。真正令人懷疑的是,同一個GDID和同一個Windows作業系統,在長達八個月的時間裡,在四個國家/地區反覆出現在調查人員已知的斯托克斯的帳戶登入記錄中。

值得注意的是,微軟先前已於2024年10月向FBI舉報過斯托克斯,當時提交了一份刑事轉介文件,描述了「線上服務遙測」。

即便駭客已被抓獲,隱私研究人員為何仍對此感到擔憂?

沒有人質疑抓錯人。根據美國司法部的數據,斯托克斯及其Scattered Spider團隊被指控入侵企業系統超過100次,並支付了超過1億美元的贖金。該系統在此案中按預期運作。

令研究人員感到不安的是此案揭示的其他一切。知名惡意軟體研究員科斯汀·雷烏在“Three Buddy Problem”播客節目中提出疑問:其他平台上是否存在類似情況?以及這些情況是否與硬體有更持久的關聯?另一位安全研究員馬修·希基則稱Windows為「監控軟體」。

Windows安裝程式會將硬體資訊傳送給微軟,並接收傳回的標識符,這些識別符隨後被用於應用程式商店存取和授權:「如果不破壞啟動和UWP功能,就無法阻止Windows取得GDID。」應用程式。 「任何在更換主機板後失去許可證的人都已經遇到過這種情況。

無名2026/07/11(六) 18:13:10.733 ID:jRgNCt1QNo.30630764del
有種會抓到我的感覺
無名2026/07/11(六) 18:15:26.403 ID:u83822GwNo.30630773del
一想到島民的屁眼被看光光 就覺得 島民也是只是一個只會打手槍的阿宅而已...

【刪除文章】[]
刪除用密碼: