Не так давно сотрудникам ФБР благодаря телеметрии операционной системы Windows удалось задержать одного из участников хакерской группировки Scattered Spider. В расследовании фигурировал малоизвестный идентификатор GDID, который ранее не упоминался в официальной документации. Однако теперь компания Microsoft подтвердила существование этого механизма.
Глобальный идентификатор устройства (GDID) — это постоянный идентификатор, который генерируется цепочкой служб операционной системы при создании учётной записи Microsoft в Windows.
Функция оптимизации доставки (Delivery Optimization) передаёт GDID на серверы Microsoft, когда компьютер участвует в обмене обновлениями или загружает их. Этот идентификатор хранится в реестре Windows по адресу HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties и имеет формат: префикс «g» в нижнем регистре, за которым следует десятичное число.
Согласно имеющимся данным, информация об этом идентификаторе может передаваться на серверы Microsoft и сохраняться после обновления Windows, но не сохраняется после полной чистой переустановки системы. Microsoft также подтвердила, что у одного пользователя может существовать несколько GDID, связанных с его учётной записью, OneDrive и историей активации устройств.
Именно GDID помог правоохранительными органами связать IP-адреса хакера с учётными записями в сторонних сервисах, таких как Snapchat, Apple, Ubisoft и других приложениях.
Некоторые специалисты по кибербезопасности выразили обеспокоенность по поводу этого механизма, назвав его потенциальным инструментом отслеживания пользователей. Они также подняли вопрос о том, насколько широко подобные идентификаторы могут применяться на других платформах.
При этом попытка вручную удалить идентификатор GDID может привести к сбоям в работе основных функций Windows.