- Im Fall des 19-jährigen Peter Stokes, dem eine Verbindung zu Scattered Spider vorgeworfen wird, wurde bekannt, dass das FBI mit Aufzeichnungen von Microsofts Global Device ID (GDID) einen Windows-PC mit Online-Aktivitäten verknüpft hat
- Die GDID ist ein dauerhafter Identifikator auf Geräteebene, der eine Windows-Installation über Microsoft-Dienste und verschiedene Szenarien hinweg identifiziert und sowohl für physische Geräte als auch für virtuelle Maschinen gelten kann
- Die Strafanzeige enthält Aufzeichnungen, wonach eine mit Stokes’ Computer verknüpfte GDID am 12. Mai 2025 um 19:21 UTC auf die ngrok-Anmeldeseite und mehrere Sites auf Servern von Tzulo zugegriffen hat
- Die GDID bleibt auch nach Windows-Updates erhalten, ändert sich aber bei einer Neuinstallation; zudem kann ein Microsoft-Nutzer mehrere GDIDs haben
- Der Fall hat die Sorge verstärkt, dass sich Online-Aktivitäten auf Windows-PCs auch ohne Browser-Cookies von Drittanbietern nachverfolgen lassen, und einige Nutzer begannen nach Möglichkeiten zu suchen, die GDID zu prüfen oder zu entfernen
Einsatz der GDID, offengelegt durch einen Festnahmefall
- Die USA haben den 19-jährigen Peter Stokes aus Europa ausgeliefert; ihm wird vorgeworfen, Mitglied der Hackergruppe Scattered Spider zu sein
- In der veröffentlichten Strafanzeige dienten Microsoft-Aufzeichnungen als zentraler Hinweis, um Stokes mit mutmaßlichen Hacking-Taten in Verbindung zu bringen
- Stokes wird vorgeworfen, im Mai 2025 einen nicht namentlich genannten gehobenen Schmuckhändler gehackt zu haben; den Aufzeichnungen zufolge nutzte er dabei ein VPN
- Das FBI bestätigte anhand von Microsoft-Aufzeichnungen, dass seine IP-Adresse mit einem Microsoft-Gerätekennzeichen namens Global Device ID (GDID) verknüpft war
Was die GDID identifiziert
- Laut der in der Anzeige zitierten Erklärung von Microsoft ist die GDID ein dauerhafter Identifikator auf Geräteebene im Windows-Ökosystem
- Dieser Identifikator ist dafür ausgelegt, eine Installation des Windows-Betriebssystems eindeutig zu unterscheiden
- Er kann sich auf physische Geräte wie Laptops oder Mobiltelefone beziehen
- Auch virtuelle Maschinen sind eingeschlossen
- Er wird über bestimmte Microsoft-Dienste und Szenarien hinweg verwendet
- Die Praxis, Konten oder Geräten eindeutige IDs zuzuweisen, ist üblich, doch in diesem Fall wurde deutlich, dass die GDID sogar mit Zugriffsprotokollen auf Dienste Dritter und deren Zeitpunkten verknüpft werden kann
Mit Online-Aktivitäten verknüpfte Aufzeichnungen
- Stokes wird vorgeworfen, das Web-Entwicklertool ngrok missbraucht zu haben, um die Netzwerkabwehr des Schmuckhändlers zu umgehen
- In Microsofts Aufzeichnungen ist vermerkt, dass eine mit Stokes’ Computer verknüpfte GDID am 12. Mai 2025 um 19:21 UTC
https://dashboard[.]ngrok.com/signupaufgerufen hat- Diese URL ist die Seite zum Einrichten eines ngrok-Kontos
- Dieselbe GDID soll auch andere ngrok-Seiten aufgerufen haben
- Das Dokument enthält außerdem die Angabe, dass diese GDID zum Zweck der Unterstützung des Hacks auf „mehrere Sites“ auf Servern des Webhosting-Anbieters Tzulo zugegriffen habe
- Die in der Anzeige aufgeführte GDID von Stokes’ PC lautet 6755467234350028
Nachverfolgbarkeit und Reaktion der Nutzer
- Dass Bundesermittler einen mutmaßlichen Hacker über einen Microsoft-Identifikator identifiziert haben, hat die Sorge vor Missbrauch zu Überwachungszwecken verstärkt
- Der Cybersicherheitsexperte Matthew Hickey schrieb auf X: „Microsoft Windows is surveillance software“
- Die GDID wird auf einer Support-Seite von Microsoft nur kurz erwähnt, darüber hinaus hat Microsoft sie öffentlich nicht näher erklärt
- Einige Nutzer begannen, nach Möglichkeiten zu suchen, den GDID-Identifikator einzuschränken oder zu löschen
Neuinstallation und offene Fragen zu anderen Plattformen
- Der Anzeige zufolge bleibt die GDID auch nach Updates des Windows-Betriebssystems auf demselben Gerät bestehen
- Wird Windows auf demselben oder auf einem anderen Gerät neu installiert, wird eine neue eindeutige GDID zugeordnet
- Eine Fußnote der Anzeige erklärt, dass ein Microsoft-Nutzer mehrere GDIDs haben kann
- Der Cybersicherheitsforscher Costin Raiu stellte mit Verweis auf den Einsatz eindeutiger Identifikatoren die Frage, ob auch andere Tech-Unternehmen über ähnliche Überwachungsmöglichkeiten verfügen
- Ob dies auf Apple-Geräten in ähnlichem Umfang vorkommt
- Ob die Kennung unabhängig von einer Neuinstallation auf Hardware-Ebene gebunden ist
- Er sagte, wer vollständige Anonymität wolle, müsse in Entwicklungsumgebungen möglicherweise Linux, FreeBSD usw. verwenden und zudem über Proxys, Tor, VPNs usw. gehen
1 Kommentare
Hacker-News-Kommentare
Der interessante Punkt ist nicht die bloße Existenz einer Gerätekennung. So etwas Ähnliches gibt es auf fast jedem modernen Betriebssystem. Die größere Frage ist die Grenzziehung: Welche Komponenten dürfen darauf zugreifen, und ab wann wird eine lokale Kennung zu einer entfernten Tracking-Kennung? Eine machine-id auf der Festplatte zu haben und dass der Betriebssystemanbieter sie mit Netzwerkaktivitäten verknüpft, sind zwei völlig verschiedene Dinge.
Das scheint zu bedeuten, dass Microsoft auf dem Endpunkt eine Form von Verkehrsanalyse durchführt und diese mit der GDID verknüpft. Vermutlich ist das Teil des Echtzeitschutzes von Defender oder von MAPS. Eine nette Randnotiz: Der frühere Name von Microsoft Defender MAPS war SpyNet. https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Die GDID-Kennung scheint allerdings softwarebasiert zu sein. Wenn man aggressiver vorgehen wollte, könnte man sie wie manche Spiele an die Seriennummer des Mainboards binden. Dann würde nicht nur eine Windows-Installationsinstanz verfolgt, sondern der gesamte Lebenszyklus der Hardware.
Es wird wohl bald ein Windows-Tool geben, das die Kennung dieses Verdächtigen in „g:6755467234350028“ ändert. Nebenbei: eine merkwürdige ID. 16 Stellen kann ich nachvollziehen, aber ich hätte erwartet, dass sie hexadezimal ist. Ich frage mich auch, wie „laut Microsoft-Aufzeichnungen die mit Stokes’ Computer verknüpfte GDID am 12. Mai 2025 um 19:21 UTC auf 'https://dashboard[.]ngrok.com/signup' unter mehreren ngrok-Seiten zugegriffen hat“ technisch funktionieren soll. Falls der Browser diese Information an Microsoft sendet, hätte dann nicht längst jemand bemerkt, dass der PC für jede geöffnete Webseite Microsoft kontaktiert? Oder werden die Daten gesammelt und später übertragen? Falls ja, betrifft das dann nur Nutzer von Microsoft-Browsern „in begrenztem Umfang“? Oder sendet Chrome auf ähnliche Weise Daten an Google? Eine andere Möglichkeit wäre, dass es auf einer tieferen Ebene passiert. Mir fallen Stellen ein, an denen Systemkomponenten Zugriff auf Domainnamen haben könnten, aber nicht, wo sie die vollständige URL sehen würden.
Das zeigt ziemlich deutlich, dass Microsoft sich nicht um Datenschutz schert, egal was in Titeln von Cookie-Einwilligungsfenstern behauptet wird. Es ist ihnen völlig egal, und das muss man über alle Big-Tech-Anbieter sagen. So abgedroschen es auch klingt: Es ist Zeit, die Dinge klar auszusprechen. Sie kümmern sich nicht um deine Privatsphäre, deine Unabhängigkeit oder dein Wohlergehen. Wirklich nicht.
Der Junge hat zu Hause an seinem eigenen Computer gesessen, sie haben ihn über die IP-Adresse verfolgt, und von dieser IP-Adresse gingen auch Windows-Update-Anfragen aus. So wurde die Device ID eingegrenzt, und diese Geräte-ID führte dann zu ihm. Genau vor so etwas warnen Datenschutzaktivisten seit Langem. Diese Fähigkeit macht praktisch jede Behauptung in Sachen Privatsphäre zunichte. Darüber hinaus haben Unternehmen wie Google das genutzt, um schon die Erwartung von Privatsphäre selbst vollständig auszuradieren.
Der Beitrag ist unklar. Es gibt keine Belege dafür, dass Microsoft sehen kann, welche Webseiten Nutzer in Chrome oder Firefox besuchen.
Ist das kein Verstoß gegen das europäische Datenschutzrecht?
Das klingt vielleicht verrückt, aber ich bin überzeugt, dass diese Art von Telemetrie irgendwie mit der riesigen, koordinierten Welle von VPN-Werbung zusammenhängt, die in den letzten Jahren aufgekommen ist. Immer mehr wirkt die „unsichtbare Hand des Marktes“ ganz wörtlich wie die Hand einiger weniger großer Gruppen mit Macht und Kapital. Sie formen die wirtschaftliche Struktur des gesamten Marktes und kontrollieren ihn damit faktisch, schaffen ein Gefälle und lassen Unternehmen ihre Verluste optimieren. VPNs sind entweder direkt Spyware, die die Möglichkeiten zur Verfolgung ausbaut, oder sie werden angeboten, um weiter an der Angst der Nutzer zu verdienen, obwohl man inzwischen auch ohne IP tracken kann. Allgemeiner betrachtet scheint von freiem Markt oder Demokratie nicht mehr viel übrig zu sein. Inzwischen treiben auch alle Regierungen organisiert den Abbau des Datenschutzes voran.
Die US-Tech-Branche wird schnell immer mehr wie Russland und China.
Hier ist ein zugehöriger Thread, in dem die Entwickler von Massgrave.dev Teile des GDID-Mechanismus erklären. https://x.com/massgravel/status/2074304593303892354