Genç bir hacker’ın tutuklanması, Microsoft’un bir Windows PC’yi ve bu cihazın çevrimiçi etkinliğini, kolay bir devre dışı bırakma seçeneği bulunmadığı görülen “Global Device ID” üzerinden takip edebildiğini ortaya koydu. Bu durum, olası gözetim faaliyetleriyle ilgili endişeleri artırdı.
Geçen hafta ABD, azılı siber suç grubu Scattered Spider üyesi olduğu iddiasıyla 19 yaşındaki Peter Stokes’un Avrupa’dan iade edildiğini duyurdu ancak erişime açılan bir suç duyurusuna göre bu dava, Microsoft’un Stokes’u şüpheli siber suçlarla ilişkilendirmede kilit bir rol oynaması nedeniyle öne çıkıyor.
Stokes’un, Mayıs 2025’te bir VPN kullanırken adı açıklanmayan lüks bir mücevher perakendecisini hacklediği iddia ediliyor. 39 sayfalık suç duyurusu, FBI’ın Microsoft kayıtlarını kullanarak Stokes’un IP adresinin, Global Device ID (GDID) olarak bilinen bir Microsoft cihaz tanımlayıcısıyla bağlantılı olduğunu keşfettiğini gösteriyor.
Suç duyurusunda şu ifadelere yer veriliyor: “Bir Microsoft temsilcisine göre, Windows ekosistemindeki bir Global Device Identifier, fiziksel bir cihaz (örneğin bir cep telefonu veya dizüstü bilgisayar) ya da sanal makine üzerindeki bir Windows işletim sistemi kurulumunu, belirli Microsoft hizmetleri ve senaryoları genelinde benzersiz şekilde tanımlamak için tasarlanmış, cihaz düzeyinde kalıcı bir tanımlayıcıdır.”
Bir teknoloji sağlayıcısının hesapları veya cihazları tanıyıp birbirinden ayırt edebilmesi için her birine benzersiz bir kimlik ataması standart bir uygulama olduğundan, küresel cihaz kimliği aslında şaşırtıcı değil fakat suç duyurusu, Microsoft’un GDID’yi üçüncü taraf hizmetlerle ve zamanlama verileriyle de eşleştirebildiğini ortaya koyuyor. Bu durum Redmond’a teorik olarak bir kullanıcının çevrimiçi etkinliğini izleme yolu sunuyor. Başka bir deyişle şirket, Windows bilgisayarınızın çevrimiçi hareketlerini üçüncü taraf tarayıcı çerezleri olmadan da takip edebilir.
Stokes’un, mücevher perakendecisinin ağ savunmasını aşmak için “ngrok” adlı bir web geliştirme aracını kötüye kullandığı tespit edildi. Suç duyurusuna göre Microsoft, 12 Mayıs 2025 günü saat 19:21 UTC’de, Stokes’un bilgisayarıyla bağlantılı GDID’nin “diğer ngrok sayfalarının yanı sıra, bir ngrok hesabı oluşturmaya yarayan ‘https://dashboard[.]ngrok.com/signup‘ adresine eriştiğini” gösteren kayıtlara sahipti.
Belge, Microsoft kayıtlarının, siber saldırıyı gerçekleştirmeye yardımcı olmak amacıyla GDID’nin bir web barındırma sağlayıcısı olan Tzulo’daki sunuculardan “birden fazla siteye” eriştiğini da gösterdiğini ekliyor.
Bu nedenle, federal soruşturmacıların şüpheli bir hacker’ı yakalamak için Microsoft tanımlayıcısını kullanmış olması, bu sistemin başka gözetleme amaçları için suistimal edilebileceğine dair endişeleri artırıyor. Siber güvenlik uzmanı Matthew Hickey, attığı bir tweette “Microsoft Windows bir gözetleme yazılımıdır.” iddiasında bulundu.
Cihaz kimliğinden bu destek sayfasında kısaca bahsediliyor ama Microsoft bunun dışında kamuoyuna bir açıklama yapmadı. Suç duyurusuna göre, bir Windows kullanıcısı GDID’yi kendi başına sıfırlayabilir fakat bu işlem kolay değil. Mahkeme belgesinde, “Bir GDID, bir cihazdaki Windows işletim sistemi güncellemeleri boyunca tutarlı kalır ancak aynı cihazda veya farklı bir cihazda Windows’un yeniden kurulması, yeni bir benzersiz GDID ile ilişkilendirilir.” deniyor. Belge bir dipnotta şunu da ekliyor: “Böylece, bir Microsoft kullanıcısının birden fazla GDID’si olabilir.”
Yine de Microsoft’un yeni atanan bir GDID’yi eski olanla ilişkilendirmesinin zor olmayacağını tahmin ediyoruz çünkü şirket, bir Microsoft hesabı girişi veya IP adresi gibi diğer tanımlayıcılara bakarak bunları eşleştirebilir. Gözetleme potansiyeline yanıt olarak bazı kullanıcılar, GDID tanımlayıcısını sınırlandırmanın ve temizlemenin yollarını şimdiden araştırmaya başladı.
Benzersiz tanımlayıcıların kullanımı, diğer teknoloji şirketlerinin de aynı düzeyde gözetim yeteneğine sahip olup olmadığı sorusunu gündeme getiriyor.
Kaynak: https://www.pcmag.com/news/a-hackers-arrest-reveals-microsoft-can-track-users-via-a-windows-device
