9 Липня, 2026

VPN не врятує: арешт хакера показав, як Microsoft відстежує ваш ПК з Windows

Затримання у Фінляндії 19-річного хакера розкрило механізм, про який раніше майже ніхто не чув: Microsoft має змогу відстежувати будь-який комп’ютер з Windows та його онлайн-активність через ідентифікатор Global Device ID (GDID) — навіть коли користувач підключений через VPN. Про це пише PC Mag.

Читайте также: Лазерний щит для роботів. У США створюють безпілотні бойові машини зі зброєю спрямованої енергії

VPN не врятує: арешт хакера показав, як Microsoft відстежує ваш ПК з Windows

Хто такий Пітер Стоукс і до чого тут ювелірний магазин

Минулого тижня США оголосили про екстрадицію з Європи 19-річного громадянина США та Естонії Пітера Стоукса — імовірного учасника відомого хакерського угруповання Scattered Spider. Стоукса заарештували в Гельсінкі у квітні 2026 року, коли він намагався сісти на рейс до Японії з двома двотерабайтними жорсткими дисками. Тепер йому висунули федеральні звинувачення в Чикаго за змову, комп’ютерне вторгнення та шахрайство.

Пітер Стоукс

Пітер Стоукс

За версією слідства, у травні 2025 року Стоукс зламав невстановлений ювелірний магазин, використовуючи для обходу мережевого захисту сервіс ngrok — і робив це через VPN. Здавалося б, класична анонімізація. Але саме тут і спрацював механізм, якого хакер не врахував.

Що таке GDID і чому VPN тут безсилий

39-сторінковий обвинувальний висновок показує, що ФБР отримало від Microsoft записи, повʼязані з так званим Global Device Identifier (GDID) — глобальним ідентифікатором пристрою. За офіційним визначенням Microsoft, це персистентний ідентифікатор на рівні ПК, призначений для визначення унікального встановлення операційної системи Windows на пристрої — фізичному чи віртуальній машині — у межах певних сервісів і сценаріїв Microsoft.

Ключова деталь: GDID присвоюється автоматично кожному встановленню Windows і, за даними слідства, залишається незмінним навіть після звичайних оновлень системи. Саме тому VPN у випадку Стоукса не допоміг: приховати можна IP-адресу, але не ідентифікатор, який Windows передає стороннім сервісам разом із часовими мітками.

Судові документи показують рівень деталізації: за даними Microsoft, 12 травня 2025 року о 19:21 за UTC пристрій із конкретним GDID заходив на сторінку реєстрації акаунту ngrok, а також звертався до кількох сайтів на серверах хостинг-провайдера Tzulo — саме тих інструментів, які використовувалися для атаки. Ідентифікатор пристрою Стоукса, за матеріалами справи, мав значення 6755467234350028.

Чому це не просто «унікальний ID»

Сам факт наявності унікального ідентифікатора пристрою — не новина: майже всі техкомпанії присвоюють подібні номери для розпізнавання клієнтів. Проблема в іншому: справа Стоукса показала, що Microsoft здатна повʼязувати GDID із конкретною активністю на сторонніх сервісах і точним часом — а це, по суті, дає компанії спосіб відстежувати онлайн-поведінку користувача Windows без будь-яких сторонніх cookies браузера.

Експерт з кібербезпеки Меттью Гіккі відреагував відверто: «Microsoft Windows — це шпигунське програмне забезпечення», — заявив він у своєму дописі.

Читайте также: Індійський розробник створив CLI-тренажер, який рятує програмістів від деградації навичок

Скинути ID майже неможливо

За словами американських прокурорів, теоретично користувач може отримати новий GDID: «GDID лишається незмінним при оновленнях Windows, але перевстановлення системи — на тому самому пристрої чи на іншому — приведе до присвоєння нового унікального GDID». У примітці слідство додає: «Таким чином, один користувач Microsoft може мати кілька GDID».

Але це радше ілюзія анонімності. Експерти вказують, що Microsoft цілком може повʼязати новий GDID зі старим через інші ідентифікатори — акаунт Microsoft, IP-адресу тощо. Публічно компанія цю тему майже не коментує: ідентифікатор побіжно згадується лише на одній зі сторінок підтримки, а офіційної заяви щодо його використання в цій справі Microsoft не давала.

А що з іншими операційними системами

Дослідник кібербезпеки Костін Райю в подкасті Three Buddy Problem поставив логічне запитання — чи властива подібна можливість стеження й іншим виробникам, зокрема Apple: 

«Наскільки це відбувається на пристроях Apple? У тому ж масштабі? Чи прив’язують вони користувача до заліза, щоб навіть перевстановлення системи не допомагало?» 

За його словами, це навряд чи унікальна для Microsoft практика, і для справжньої анонімності може знадобитися перехід на Linux чи FreeBSD в комплексі з Tor і проксі — сам по собі VPN тут не панацея.

Історія з арештом Стоукса — не лише про упіймання підозрюваного хакера. Вона показує принципову річ: якщо ваша операційна система сама передає ідентифікатор пристрою стороннім сервісам, VPN приховує лише вашу IP-адресу, але не унікальний «цифровий відбиток» самого Windows. Для більшості користувачів простого способу відключити чи повністю прибрати GDID наразі не існує.

Нагадаємо, кілька днів тому Microsoft подарувала користувачам Windows 10 ще один рік безплатної підтримки.

Читайте также: У реальному часі. Стартап із США випустив застосунок, який виявляє шахрайські схеми, створені ШІ

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn

Автор admin

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *