- Trong vụ án của Peter Stokes 19 tuổi, người bị cáo buộc liên quan đến Scattered Spider, đã lộ ra việc FBI dùng bản ghi Global Device ID (GDID) của Microsoft để liên kết PC Windows với hoạt động trực tuyến
- GDID là định danh cấp thiết bị bền vững dùng để nhận diện một bản cài đặt Windows trên các dịch vụ và kịch bản của Microsoft, có thể áp dụng cho cả thiết bị vật lý lẫn máy ảo
- Đơn khiếu tố hình sự bao gồm bản ghi cho thấy vào lúc 19:21 UTC ngày 12/5/2025, GDID gắn với máy tính của Stokes đã truy cập trang đăng ký ngrok và nhiều trang trên máy chủ Tzulo
- GDID vẫn được giữ nguyên sau khi Windows cập nhật, nhưng sẽ đổi sang giá trị mới nếu cài đặt lại, và một người dùng Microsoft có thể có nhiều GDID
- Vụ việc làm dấy lên lo ngại rằng hoạt động trực tuyến trên PC Windows có thể bị theo dõi ngay cả khi không có cookie trình duyệt bên thứ ba, khiến một số người dùng bắt đầu tìm cách kiểm tra hoặc xóa GDID
GDID được sử dụng ra sao trong vụ bắt giữ
- Mỹ đã dẫn độ Peter Stokes 19 tuổi từ châu Âu, người bị cáo buộc là thành viên của nhóm hacker Scattered Spider
- Trong đơn khiếu tố hình sự được công bố, hồ sơ của Microsoft được dùng như manh mối then chốt để liên kết Stokes với các hành vi hack bị nghi ngờ
- Stokes bị cáo buộc đã tấn công một nhà bán lẻ trang sức cao cấp không được nêu tên vào tháng 5/2025, và hồ sơ cho thấy khi đó anh ta sử dụng VPN
- Thông qua hồ sơ Microsoft, FBI xác nhận địa chỉ IP của anh ta được liên kết với một định danh thiết bị của Microsoft có tên Global Device ID (GDID)
GDID nhận diện điều gì
- Theo phần giải thích của Microsoft được trích trong đơn kiện, GDID được định nghĩa là định danh cấp thiết bị bền vững trong hệ sinh thái Windows
- Định danh này được thiết kế để phân biệt duy nhất từng bản cài đặt hệ điều hành Windows
- Có thể áp dụng cho thiết bị vật lý như laptop hoặc điện thoại
- Cũng bao gồm cả máy ảo
- Được dùng trên nhiều dịch vụ và kịch bản cụ thể của Microsoft
- Việc gán ID riêng cho tài khoản hoặc thiết bị là chuyện phổ biến, nhưng trong vụ này, GDID được cho là có thể liên kết cả lịch sử truy cập dịch vụ bên thứ ba lẫn thời điểm truy cập
Bản ghi gắn với hoạt động trực tuyến
- Stokes bị cáo buộc lạm dụng công cụ phát triển web ngrok để vượt qua hệ thống phòng thủ mạng của nhà bán lẻ trang sức
- Trong hồ sơ Microsoft có ghi lại rằng vào lúc 19:21 UTC ngày 12/5/2025, GDID gắn với máy tính của Stokes đã truy cập
https://dashboard[.]ngrok.com/signup- URL này là trang thiết lập tài khoản ngrok
- Cùng GDID đó cũng được ghi nhận đã truy cập các trang ngrok khác
- Tài liệu cũng nêu rằng GDID này đã truy cập “nhiều trang” trên máy chủ của nhà cung cấp dịch vụ lưu trữ web Tzulo nhằm hỗ trợ việc thực hiện vụ hack
- GDID của PC Stokes được nêu trong đơn khiếu tố là 6755467234350028
Khả năng theo dõi và phản ứng của người dùng
- Việc cơ quan điều tra liên bang xác định được hacker bị nghi ngờ thông qua định danh của Microsoft đã làm gia tăng lo ngại về lạm dụng cho mục đích giám sát
- Chuyên gia an ninh mạng Matthew Hickey viết trên X rằng “Microsoft Windows is surveillance software”
- GDID chỉ được nhắc ngắn gọn trên một trang hỗ trợ của Microsoft, và công ty chưa công khai giải thích thêm
- Một số người dùng đã bắt đầu tìm cách hạn chế hoặc xóa định danh GDID
Cài lại hệ thống và những câu hỏi còn lại với nền tảng khác
- Theo đơn khiếu tố, GDID vẫn giữ nguyên sau khi cập nhật hệ điều hành Windows trên cùng một thiết bị
- Nếu cài đặt lại Windows trên cùng thiết bị hoặc thiết bị khác, một GDID mới sẽ được gắn vào
- Chú thích trong đơn cho biết một người dùng Microsoft có thể có nhiều GDID
- Nhà nghiên cứu an ninh mạng Costin Raiu đặt câu hỏi liệu các công ty công nghệ khác có năng lực giám sát tương tự dựa trên việc dùng định danh duy nhất hay không
- Liệu điều này có xảy ra ở quy mô tương tự trên thiết bị Apple hay không
- Liệu mức độ gắn với phần cứng có tồn tại bất kể việc cài đặt lại hay không
- Ông cho rằng nếu muốn ẩn danh hoàn toàn, có thể cần dùng Linux, FreeBSD... trong môi trường phát triển và đi qua proxy, Tor, VPN...
1 bình luận
Các ý kiến trên Hacker News
Phần thú vị không phải là bản thân việc định danh thiết bị tồn tại. Gần như mọi hệ điều hành hiện đại đều có thứ tương tự. Câu hỏi lớn hơn là ranh giới nằm ở đâu: thành phần nào có thể truy cập, và khi nào một định danh cục bộ trở thành định danh theo dõi từ xa. Một
machine-idnằm trên đĩa và việc nhà cung cấp hệ điều hành liên kết nó với hoạt động mạng là hai chuyện hoàn toàn khác nhau./etc/machine-idtrên Linux. Vì ngrok dùng mô hình freemium, sẽ chẳng có gì đáng ngạc nhiên nếu client gửi ID thiết bị để bắt những người dùng cố vượt giới hạn miễn phí./etc/machine-idvà bất kỳ ai trên thiết bị đó cũng có thể đọc. https://www.freedesktop.org/software/systemd/man/latest/mach...about:networking#networkidcủa Firefox cũng là một ví dụ tương tự. Nó từng gây tranh cãi, và mọi AI đều có thông tin sai về nguồn gốc cũng như mục đích sử dụng của nó.Có vẻ điều này có nghĩa là Microsoft thực hiện một dạng phân tích lưu lượng nào đó trên endpoint và liên kết nó với GDID. Có lẽ là một phần của tính năng bảo vệ thời gian thực của Defender hoặc MAPS. Một chi tiết thú vị: tên cũ của Microsoft Defender MAPS là SpyNet. https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Tuy vậy, định danh GDID có vẻ mang tính phần mềm. Nếu muốn mạnh tay hơn, họ có thể gắn nó với số sê-ri bo mạch chủ như một số trò chơi đang làm. Khi đó việc theo dõi sẽ kéo dài suốt vòng đời của phần cứng, chứ không chỉ theo từng bản cài Windows.
Có lẽ sắp có một công cụ Windows đổi định danh của nghi phạm này thành “g:6755467234350028”. Nhân tiện, đó là một ID kỳ lạ. Tôi hiểu vì sao là 16 chữ số, nhưng đã nghĩ nó sẽ là hệ thập lục phân. Tôi cũng tò mò cơ chế của câu “Theo hồ sơ của Microsoft, vào 19:21 UTC ngày 12/5/2025, GDID liên kết với máy tính của Stokes đã truy cập một trong nhiều trang ngrok, ‘https://dashboard[.]ngrok.com/signup’” hoạt động thế nào. Nếu trình duyệt gửi thông tin đó cho Microsoft, chẳng lẽ không ai nhận ra rằng PC kết nối tới Microsoft mỗi khi mở bất kỳ trang web nào sao? Hay dữ liệu được gom lại rồi gửi sau? Nếu vậy, chuyện này chỉ ảnh hưởng “hạn chế” tới người dùng trình duyệt của Microsoft? Hay Chrome cũng gửi dữ liệu cho Google theo cách tương tự? Một khả năng khác là nó xảy ra ở tầng thấp hơn, và tôi có thể nghĩ ra nơi một thành phần hệ thống có thể truy cập tên miền, nhưng không rõ nơi nào có thể thấy được toàn bộ URL.
Điều này cho thấy khá rõ rằng Microsoft không hề quan tâm đến quyền riêng tư, bất kể họ tuyên bố gì trong tiêu đề của màn hình đồng ý cookie. Họ hoàn toàn không quan tâm, và điều này cần được nói về mọi nhà cung cấp Big Tech. Nghe có vẻ sáo mòn, nhưng đã đến lúc phải nói điều cần nói. Họ không quan tâm đến quyền riêng tư, sự độc lập hay sự an toàn của bạn. Thật sự là không.
Đứa trẻ này dùng máy tính của mình ở nhà, họ truy vết bằng địa chỉ IP, và địa chỉ IP đó cũng gửi các yêu cầu Windows Updates. Nhờ vậy Device ID được thu hẹp, rồi ID thiết bị đó dẫn tới đứa trẻ này. Đây chính là loại chuyện mà những người ủng hộ quyền riêng tư đã liên tục cảnh báo. Khả năng như vậy về cơ bản xóa sạch mọi tuyên bố về quyền riêng tư. Xa hơn nữa, các công ty như Google đã dùng điều này để khiến kỳ vọng về quyền riêng tư hoàn toàn biến mất.
Bài viết mơ hồ. Không có bằng chứng nào cho thấy Microsoft có thể xem người dùng truy cập những trang web nào trên Chrome hay Firefox
Cái này chẳng phải vi phạm luật bảo vệ dữ liệu cá nhân của châu Âu sao?
Nghe có thể điên rồ, nhưng tôi tin chắc rằng loại telemetry này somehow có liên quan đến bối cảnh quảng cáo VPN được đẩy mạnh một cách khổng lồ và có tổ chức trong vài năm qua Càng ngày “bàn tay vô hình của thị trường” càng trông đúng nghĩa như bàn tay của một vài nhóm khổng lồ có quyền lực và vốn. Họ nhào nặn và gần như kiểm soát cấu trúc kinh tế của toàn thị trường, tạo ra độ nghiêng để các công ty tối ưu hóa tổn thất VPN có thể là spyware trực tiếp làm tăng khả năng theo dõi, hoặc vì giờ đã có thể theo dõi cả khi không cần IP nên nó được cung cấp để kiếm tiền từ nỗi sợ của người dùng mà vẫn tiếp tục theo dõi họ Nhìn rộng hơn thì có vẻ thị trường tự do hay dân chủ chẳng còn lại bao nhiêu. Giờ mọi chính phủ cũng đang thúc đẩy có tổ chức để loại bỏ quyền riêng tư
Ngành công nghệ Mỹ đang nhanh chóng trở nên giống Nga và Trung Quốc
Đây là một thread liên quan, trong đó các nhà phát triển Massgrave.dev giải thích một phần cơ chế GDID https://x.com/massgravel/status/2074304593303892354