- Dalam kasus Peter Stokes berusia 19 tahun yang dituduh terkait Scattered Spider, terungkap bahwa FBI menghubungkan PC Windows dan aktivitas online melalui catatan Global Device ID (GDID) milik Microsoft
- GDID adalah pengenal tingkat perangkat yang persisten untuk mengidentifikasi instalasi Windows di seluruh layanan dan skenario Microsoft, dan dapat berlaku untuk perangkat fisik maupun mesin virtual
- Surat dakwaan pidana mencakup catatan bahwa pada 12 Mei 2025 pukul 19:21 UTC, GDID yang terhubung ke komputer Stokes mengakses halaman pendaftaran ngrok dan beberapa situs di server Tzulo
- GDID tetap sama setelah pembaruan Windows, tetapi berubah ke nilai baru jika dilakukan instal ulang, dan satu pengguna Microsoft dapat memiliki beberapa GDID
- Kasus ini meningkatkan kekhawatiran bahwa aktivitas online di PC Windows dapat dilacak bahkan tanpa cookie browser pihak ketiga, dan sebagian pengguna mulai mencari cara untuk memeriksa atau menghapus GDID
Pemanfaatan GDID yang terungkap dalam kasus penangkapan
- Amerika Serikat mengekstradisi Peter Stokes yang berusia 19 tahun dari Eropa, dan ia dituduh sebagai anggota grup peretas Scattered Spider
- Dalam surat dakwaan pidana yang dipublikasikan, catatan Microsoft digunakan sebagai petunjuk kunci yang menghubungkan Stokes dengan dugaan kejahatan peretasan
- Stokes dituduh meretas peritel perhiasan mewah yang tidak disebutkan namanya pada Mei 2025, dan tercatat menggunakan VPN saat itu
- FBI memastikan melalui catatan Microsoft bahwa alamat IP-nya terhubung dengan pengenal perangkat Microsoft bernama Global Device ID (GDID)
Apa yang diidentifikasi oleh GDID
- Dalam penjelasan Microsoft yang dikutip di surat dakwaan, GDID didefinisikan sebagai pengenal tingkat perangkat yang persisten dalam ekosistem Windows
- Pengenal ini dirancang untuk membedakan setiap instalasi sistem operasi Windows secara unik
- Bisa berlaku untuk perangkat fisik seperti laptop atau ponsel
- Juga mencakup mesin virtual
- Digunakan di berbagai layanan dan skenario Microsoft tertentu
- Praktik memberikan ID unik ke akun atau perangkat adalah hal yang umum, tetapi dalam kasus ini terungkap bahwa GDID dapat dihubungkan hingga ke catatan akses layanan pihak ketiga dan waktunya
Catatan yang terhubung dengan aktivitas online
- Stokes dituduh menyalahgunakan alat pengembangan web ngrok untuk melewati pertahanan jaringan peritel perhiasan tersebut
- Catatan Microsoft menunjukkan bahwa pada 12 Mei 2025 pukul 19:21 UTC, GDID yang terhubung dengan komputer Stokes mengakses
https://dashboard[.]ngrok.com/signup- URL tersebut adalah halaman untuk menyiapkan akun ngrok
- GDID yang sama juga tercatat mengakses halaman ngrok lainnya
- Dokumen itu juga memuat keterangan bahwa GDID ini mengakses “beberapa situs” di server penyedia web hosting Tzulo untuk membantu pelaksanaan peretasan
- GDID milik PC Stokes yang tercantum dalam surat dakwaan adalah 6755467234350028
Kemungkinan pelacakan dan reaksi pengguna
- Fakta bahwa penyidik federal mengidentifikasi tersangka peretas melalui pengenal Microsoft memicu kekhawatiran lebih besar soal penyalahgunaan untuk tujuan pengawasan
- Pakar keamanan siber Matthew Hickey menulis di X, “Microsoft Windows is surveillance software”
- GDID disebut singkat di salah satu halaman dukungan Microsoft, tetapi selain itu Microsoft belum menjelaskannya secara publik
- Sebagian pengguna mulai mencari cara untuk membatasi atau menghapus pengenal GDID
Instal ulang dan pertanyaan yang tersisa untuk platform lain
- Menurut surat dakwaan, GDID tetap sama setelah pembaruan sistem operasi Windows pada perangkat yang sama
- Jika Windows diinstal ulang pada perangkat yang sama atau perangkat lain, GDID unik yang baru akan terhubung
- Catatan kaki dalam surat dakwaan menyebutkan bahwa satu pengguna Microsoft dapat memiliki beberapa GDID
- Peneliti keamanan siber Costin Raiu mempertanyakan apakah perusahaan teknologi lain juga memiliki kemampuan pengawasan serupa karena menggunakan pengenal unik
- Apakah hal yang sama juga terjadi pada perangkat Apple dalam skala serupa
- Apakah pengenal itu terikat ke perangkat keras terlepas dari instal ulang
- Ia mengatakan bahwa jika menginginkan anonimitas penuh, mungkin perlu menggunakan Linux, FreeBSD, dan sejenisnya untuk lingkungan pengembangan serta memakai proxy, Tor, VPN, dan sejenisnya
1 komentar
Komentar Hacker News
Bagian yang menarik bukanlah fakta bahwa pengidentifikasi perangkat itu ada. Hampir semua sistem operasi modern punya sesuatu yang mirip Pertanyaan yang lebih besar adalah batasannya. Komponen mana yang bisa mengaksesnya, dan kapan pengidentifikasi lokal berubah menjadi pengidentifikasi pelacakan jarak jauh machine-id yang tersimpan di disk dan vendor sistem operasi yang mengaitkannya dengan aktivitas jaringan adalah dua hal yang sama sekali berbeda
Ini tampaknya berarti Microsoft melakukan suatu bentuk analisis traffic di endpoint dan mengaitkannya dengan GDID. Mungkin bagian dari perlindungan real-time Defender atau MAPS Fakta menarik, nama lama Microsoft Defender MAPS adalah SpyNet https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Namun pengidentifikasi GDID tampaknya bersifat perangkat lunak. Kalau ingin lebih agresif, bisa juga diikat ke nomor seri motherboard seperti yang dilakukan sebagian game. Dengan begitu pelacakan berlangsung sepanjang siklus hidup hardware, bukan per instans instalasi Windows
Rasanya sebentar lagi akan muncul alat Windows yang mengubah pengidentifikasi tersangka ini menjadi “g:6755467234350028”. Omong-omong, itu ID yang aneh. Saya paham 16 digit, tapi tadinya mengira itu akan berupa heksadesimal Saya juga penasaran bagaimana cara kerja klaim “menurut catatan Microsoft, pada 12 Mei 2025 pukul 19:21 UTC, GDID yang terkait dengan komputer Stokes mengakses 'https://dashboard[.]ngrok.com/signup' di antara beberapa halaman ngrok” Kalau browser mengirim informasi itu ke Microsoft, bukankah seseorang seharusnya menyadari bahwa PC menghubungi Microsoft untuk setiap halaman web yang dibuka? Atau apakah datanya dikumpulkan dulu lalu dikirim belakangan? Jika begitu, apakah ini “secara terbatas” hanya berdampak pada pengguna browser Microsoft? Atau apakah Chrome juga mengirim data ke Google dengan cara yang sama? Kemungkinan lain adalah ini terjadi di lapisan yang lebih rendah; saya bisa membayangkan posisi komponen sistem yang dapat mengakses nama domain, tetapi tidak tahu posisi yang bisa melihat URL lengkap
Ini cukup kuat menunjukkan bahwa Microsoft tidak peduli pada privasi, apa pun klaim mereka di judul layar persetujuan cookie Mereka sama sekali tidak peduli, dan ini harus dikatakan tentang semua vendor Big Tech. Walau terdengar klise, sekarang sudah saatnya mengatakan apa yang perlu dikatakan. Mereka tidak peduli pada privasi, kemandirian, atau kesejahteraan Anda. Mereka benar-benar tidak peduli
Anak ini memakai komputernya sendiri di rumahnya sendiri, mereka melacaknya lewat alamat IP, dan alamat IP itu juga mengirim permintaan Windows Updates. Dari situ Device ID dipersempit, lalu ID perangkat itu mengarah ke anak ini Inilah jenis hal yang terus diperingatkan oleh para pendukung privasi. Kemampuan seperti ini pada dasarnya menghapus semua klaim privasi Lebih jauh lagi, perusahaan seperti Google telah memanfaatkannya untuk membuat ekspektasi terhadap privasi itu sendiri benar-benar hilang
Tulisannya ambigu. Tidak ada bukti bahwa Microsoft bisa melihat halaman web apa yang dikunjungi pengguna di Chrome atau Firefox
Bukankah ini melanggar undang-undang perlindungan data pribadi Eropa?
Mungkin terdengar gila, tetapi saya yakin telemetri semacam ini somehow terkait dengan latar belakang iklan VPN yang didorong secara besar-besaran dan terorganisasi selama beberapa tahun terakhir Semakin lama, “tangan tak terlihat pasar” benar-benar terlihat seperti tangan beberapa kelompok raksasa yang punya kekuasaan dan modal. Mereka membentuk, bahkan pada praktiknya mengendalikan, struktur ekonomi seluruh pasar, lalu menciptakan kemiringan sehingga perusahaan-perusahaan mengoptimalkan kerugian mereka VPN bisa saja merupakan spyware yang secara langsung meningkatkan kemampuan pelacakan, atau karena sekarang pelacakan bisa dilakukan bahkan tanpa IP, VPN ditawarkan untuk menghasilkan uang dari ketakutan pengguna sambil tetap melacak mereka Dalam gambaran yang lebih luas, sepertinya pasar bebas maupun demokrasi sudah tidak banyak tersisa. Sekarang semua pemerintah pun secara terorganisasi mendorong penghapusan perlindungan privasi
Industri teknologi AS dengan cepat menjadi seperti Rusia dan Tiongkok
Ini adalah thread terkait dari para pengembang Massgrave.dev yang menjelaskan sebagian mekanisme GDID https://x.com/massgravel/status/2074304593303892354