یکی از قابلیتهای بحثبرانگیز ویندوز که سالها بهدلیل جمعآوری دادهها مورد انتقاد کاربران قرار داشته، این بار نقش مهمی در شناسایی و دستگیری یک هکر ایفا کرده است. اسناد منتشرشده در پرونده قضایی نشان میدهد شناسه اختصاصی دستگاههای ویندوز موسوم به GDID مسیر ردیابی این متهم را هموار کرده است.
بر اساس اسناد دادگاه فردی به نام Peter Stokes که تابعیت آمریکا و استونی را دارد توسط پلیس فنلاند بازداشت شد. وی پس از آن به آمریکا مسترد شد و اکنون با 6 اتهام شامل توطئه، نفوذ غیرمجاز و کلاهبرداری روبهرو شده است.
دادستانهای آمریکایی مدعی هستند استوکس از اعضای گروه هکری Scattered Spider بوده است؛ گروهی که به بیش از 100 حمله سایبری علیه سازمانها و شرکتهای مختلف نسبت داده میشود. وزارت دادگستری آمریکا اعلام کرده مجموع مبالغ باجخواهی این گروه از 100 میلیون دلار فراتر رفته است.

مهمترین اتهام مطرحشده علیه استوکس به حملهای در سال 2025 بازمیگردد. طبق کیفرخواست، اعضای گروه با تماس تلفنی از طریق Google Voice و معرفی خود بهعنوان کارکنان یک فروشنده لوکس جواهرات، موفق شدند کارکنان بخش فناوری اطلاعات را متقاعد کنند اطلاعات ورود برخی حسابهای کاربری را بازنشانی کنند.
در نتیجه این حمله، هکرها به 3 حساب کاربری دسترسی پیدا کرده و اطلاعات شرکت را سرقت و در ازای آن 8 میلیون دلار ارز دیجیتال درخواست کردند. این شرکت حاضر به پرداخت باج نشد، اما هزینه بازیابی سامانهها، توقف فعالیت و پاکسازی آثار حمله حدود 2 میلیون دلار برآورد شده است.
شناسه مخفی ویندوز چگونه هویت هکر را فاش کرد؟
نکته جالب این پرونده نقش Global Device Identifier (GDID) یا شناسه جهانی دستگاه در ویندوز است. این شناسه بهصورت اختصاصی برای هر نصب ویندوز ایجاد میشود. همین شناسه در برخی شرایط، مانند تعویض قطعات، برای تشخیص تغییرات سختافزاری و حتی اعتبارسنجی مجوز ویندوز نیز مورد استفاده قرار میگیرد.
طبق اسناد دادگاه، استوکس برای پنهان کردن هویت خود از VPN استفاده کرده و سپس از طریق سرویس ngrok که امکان ایجاد تونل امن و مخفی کردن مبدأ واقعی ارتباطات را فراهم میکند، حساب کاربری ساخته بود. با این حال، هیچیک از این روشها نتوانست شناسه GDID سیستم او را مخفی کند.
پس از دریافت حکم قضایی، مایکروسافت شناسه GDID مرتبط با دستگاه مورد استفاده متهم را در اختیار مأموران قرار داد. سپس با تطبیق این شناسه با لاگهای زمانبندیشده سرویس ngrok، دستگاه مورد نظر شناسایی شد.
بر اساس گزارش techspot مأموران مسیر اتصال این دستگاه را با آدرسهای IP ثبتشده تطبیق دادند و آن را با زمان ورود به حسابهای Snapchat و Apple و Facebook مقایسه کردند. از سوی دیگر، انتشار تصاویر اقامت در هتلهای لوکس توسط هکر در اسنپچت نیز روند تحقیقات را برای مأموران آسانتر کرد.
نظرات کاربران