- Scattered Spider से जुड़े आरोपों वाले 19 वर्षीय Peter Stokes के मामले में यह सामने आया कि FBI ने Microsoft के Global Device ID(GDID) रिकॉर्ड के जरिए Windows PC और ऑनलाइन गतिविधि को जोड़ा
- GDID एक स्थायी डिवाइस-लेवल आइडेंटिफायर है, जो Windows इंस्टॉलेशन को Microsoft सेवाओं और scenarios में पहचानता है; यह फिजिकल डिवाइस और virtual machines दोनों पर लागू हो सकता है
- आपराधिक शिकायत में यह रिकॉर्ड शामिल है कि 12 मई 2025 को 19:21 UTC पर Stokes के कंप्यूटर से जुड़े GDID ने ngrok signup page और Tzulo server की कई sites को access किया
- GDID Windows update के बाद भी बना रहता है, लेकिन reinstall करने पर नई value में बदल जाता है, और एक Microsoft user के पास कई GDID हो सकते हैं
- इस मामले ने यह चिंता बढ़ाई कि third-party browser cookies के बिना भी Windows PC की ऑनलाइन गतिविधि ट्रैक की जा सकती है, और कुछ users ने GDID जांचने व हटाने के तरीके खोजने शुरू कर दिए
गिरफ्तारी मामले में सामने आया GDID का उपयोग
- अमेरिका ने यूरोप से 19 वर्षीय Peter Stokes को प्रत्यर्पित कराया है, जिस पर hacking group Scattered Spider का सदस्य होने का आरोप है
- सार्वजनिक की गई आपराधिक शिकायत में Microsoft records का इस्तेमाल Stokes को संदिग्ध hacking अपराधों से जोड़ने वाले मुख्य सुराग के रूप में किया गया
- Stokes पर मई 2025 में एक अज्ञात high-end jewelry retailer को hack करने का आरोप है, और उस समय VPN इस्तेमाल करने का रिकॉर्ड है
- FBI ने Microsoft records के जरिए पुष्टि की कि उसका IP address Microsoft के device identifier Global Device ID(GDID) से जुड़ा था
GDID क्या पहचानता है
- शिकायत में उद्धृत Microsoft के विवरण में GDID को Windows ecosystem का स्थायी device-level identifier बताया गया है
- यह identifier Windows operating system installation को uniquely अलग पहचान देने के लिए designed है
- laptop या phone जैसे physical devices対象 हो सकते हैं
- virtual machines भी शामिल हैं
- इसका उपयोग कुछ Microsoft services और scenarios में किया जाता है
- accounts या devices को unique ID देने की practice आम है, लेकिन इस मामले में यह सामने आया कि GDID को third-party services के access records और समय से भी जोड़ा जा सकता है
ऑनलाइन गतिविधि से जुड़े records
- Stokes पर आरोप है कि उसने jewelry retailer की network defenses को bypass करने के लिए web development tool ngrok का दुरुपयोग किया
- Microsoft records में दर्ज है कि 12 मई 2025 को 19:21 UTC पर Stokes के computer से जुड़े GDID ने
https://dashboard[.]ngrok.com/signupको access किया- यह URL ngrok account setup करने वाला page है
- उसी GDID द्वारा अन्य ngrok pages access किए जाने का भी record है
- document में यह भी शामिल है कि इस GDID ने hacking को अंजाम देने में मदद के लिए web hosting provider Tzulo के server पर “कई sites” को access किया
- शिकायत में दिखाया गया Stokes PC का GDID 6755467234350028 है
tracking की संभावना और users की प्रतिक्रिया
- federal investigators ने Microsoft identifier से संदिग्ध hacker की पहचान की, इस वजह से surveillance purpose में दुरुपयोग की चिंता बढ़ी
- cybersecurity expert Matthew Hickey ने X पर दावा किया, “Microsoft Windows is surveillance software”
- GDID का Microsoft के एक support page पर संक्षिप्त mention है, लेकिन इसके अलावा Microsoft ने सार्वजनिक रूप से कोई explanation नहीं दी है
- कुछ users ने GDID identifier को सीमित या delete करने के तरीके तलाशने शुरू कर दिए
reinstall और अन्य platforms पर बाकी सवाल
- शिकायत के अनुसार GDID उसी device के Windows operating system updates के बाद भी बना रहता है
- Windows को उसी device या किसी दूसरे device पर reinstall करने पर एक नया unique GDID जुड़ जाता है
- शिकायत के footnote में बताया गया है कि एक Microsoft user के पास कई GDID हो सकते हैं
- cybersecurity researcher Costin Raiu ने unique identifiers के उपयोग के आधार पर पूछा कि क्या दूसरी tech companies के पास भी समान surveillance capabilities हैं
- क्या Apple devices पर भी यही समान scale पर होता है
- क्या यह reinstall से independent होकर hardware से बंधे स्तर का है
- उनका कहना है कि अगर पूरी anonymity चाहिए, तो development environment में Linux, FreeBSD आदि का उपयोग करना और proxy, Tor, VPN आदि के जरिए जाना जरूरी हो सकता है
1 टिप्पणियां
Hacker News की राय
दिलचस्प बात यह नहीं है कि device identifier मौजूद है। लगभग हर आधुनिक ऑपरेटिंग सिस्टम में कुछ ऐसा होता है बड़ा सवाल सीमाओं का है। कौन से components इसे access कर सकते हैं, और कब एक local identifier remote tracking identifier बन जाता है डिस्क पर रखा machine-id और OS vendor द्वारा उसे network activity से जोड़ना, दोनों पूरी तरह अलग बातें हैं
इसका मतलब लगता है कि Microsoft endpoint पर किसी तरह का traffic analysis करता है और उसे GDID से जोड़ता है। शायद यह Defender की real-time protection या MAPS का हिस्सा होगा मजेदार तथ्य: Microsoft Defender MAPS का पुराना नाम SpyNet था https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... हालांकि GDID identifier software जैसा लगता है। और aggressive तरीके से करना हो तो कुछ games की तरह इसे motherboard serial number से भी बांधा जा सकता है। तब tracking Windows installation instance तक सीमित नहीं रहेगी, बल्कि hardware के पूरे lifecycle तक चलेगी
लगता है जल्द ही कोई Windows tool आ जाएगा जो इस suspect के identifier को “g:6755467234350028” में बदल देगा। वैसे यह अजीब ID है। 16 digits होना समझ आता है, लेकिन उम्मीद थी कि यह hexadecimal होगा और यह कैसे काम करता है, यह भी जानना चाहूंगा: “Microsoft records के मुताबिक 12 मई 2025 को 19:21 UTC पर Stokes के computer से जुड़े GDID ने कई ngrok pages में से 'https://dashboard[.]ngrok.com/signup' access किया” अगर browser यह जानकारी Microsoft को भेजता है, तो क्या किसी ने यह notice नहीं किया होगा कि PC द्वारा खोले गए हर webpage पर Microsoft से connection हो रहा है? या फिर data collect करके बाद में भेजा जाता है? अगर ऐसा है, तो क्या इसका असर “सीमित रूप से” केवल Microsoft browser users पर है? या Chrome भी इसी तरह Google को data भेजता है? दूसरी संभावना यह है कि यह lower layer पर होता है। मुझे ऐसे spots याद आते हैं जहां system components domain name access कर सकते हैं, लेकिन पूरा URL देखने वाली जगह साफ नहीं है
यह काफी मजबूती से दिखाता है कि cookie consent screen के title में Microsoft चाहे जो दावा करे, वह privacy की परवाह नहीं करता उसे बिल्कुल परवाह नहीं है, और यह बात सभी Big Tech vendors के बारे में कहनी चाहिए। भले ही यह घिसी-पिटी लगे, अब वह बात कहने का समय है जो कहनी जरूरी है। उन्हें आपकी privacy, independence या well-being की परवाह नहीं है। सच में नहीं है
इस बच्चे ने अपने घर में अपना computer इस्तेमाल किया, उन्होंने IP address से trace किया, और उसी IP address से Windows Updates requests भी गई थीं। इसी तरह Device ID narrow down हुआ, और वह device ID इस बच्चे तक पहुंच गया privacy advocates इसी तरह की चीजों के बारे में लगातार चेतावनी देते आए हैं। ऐसी capability वास्तव में privacy से जुड़े लगभग सभी दावों को मिटा देती है इससे आगे, Google जैसी companies ने इसका इस्तेमाल करके privacy की expectation को ही पूरी तरह खत्म करवा दिया है
पोस्ट अस्पष्ट है। इस बात का कोई सबूत नहीं है कि Microsoft देख सकता है कि यूज़र Chrome या Firefox में कौन-से वेबपेजों पर जाते हैं
क्या यह यूरोपीय privacy कानून का उल्लंघन नहीं है?
पागलपन वाली बात लग सकती है, लेकिन मुझे यकीन है कि इस तरह की telemetry का किसी-न-किसी तरह पिछले कुछ वर्षों में VPN विज्ञापनों के विशाल और संगठित तरीके से आगे बढ़ाए जाने से संबंध है “बाजार का अदृश्य हाथ” अब सचमुच सत्ता और पूंजी रखने वाले कुछ बड़े समूहों का हाथ जैसा दिखने लगा है। वे पूरे बाजार की आर्थिक संरचना को गढ़कर लगभग नियंत्रित करते हैं, और ऐसा झुकाव बनाते हैं कि कंपनियां losses को optimize करें VPN या तो सीधे तौर पर tracking क्षमता बढ़ाने वाला spyware है, या फिर अब IP के बिना भी track किया जा सकता है, इसलिए यूज़र के डर से पैसा कमाते हुए tracking जारी रखने के लिए इसे दिया जा रहा है व्यापक रूप से देखें तो free market या democracy ज्यादा बची हुई नहीं लगती। अब हर सरकार भी privacy को खत्म करने के लिए संगठित तरीके से दबाव बना रही है
अमेरिकी tech industry तेजी से Russia और China जैसी होती जा रही है
Massgrave.dev developers ने GDID mechanism के कुछ हिस्से समझाए हैं, यह संबंधित thread है https://x.com/massgravel/status/2074304593303892354