GDID: identyfikator Windows, którego VPN nie ukryje
W lipcu 2026 r. przez media technologiczne przeszła sprawa, która na nowo rozgrzała dyskusję o prywatności w Windowsie. Z dokumentów federalnych dotyczących zatrzymania domniemanego członka grupy Scattered Spider wynikało, że śledczy powiązali aktywność podejrzanego z konkretnym urządzeniem dzięki GDID - Global Device Identifier. Podejrzany korzystał z VPN-a, zmieniał adresy IP i łączył się przez zdalne pulpity - a mimo to jego maszyna pozostawała rozpoznawalna. Jak ujęła to jedna z relacji: „VPN ukrył trasę sieciową. Nie ukrył maszyny."
Kontekst. To materiał edukacyjny o prywatności i atrybucji na poziomie urządzenia. Opisuje mechanizm publicznie udokumentowany w doniesieniach prasowych i ma pomóc zrozumieć ograniczenia popularnych narzędzi „anonimizujących", a nie wspierać unikanie zgodnej z prawem odpowiedzialności.
Czym jest GDID
Global Device Identifier to - według opisu przypisywanego Microsoftowi - „trwały, przypisany do urządzenia identyfikator, który jednoznacznie oznacza instalację systemu Windows". Kluczowe cechy według dostępnych doniesień:
- jest trwały - utrzymuje się między restartami i zmianami sieci;
- jest powiązany z instalacją systemu, a nie ze sprzętem - nowy GDID pojawia się dopiero po ponownej instalacji Windows;
- powstaje w obrębie Connected Devices Platform (warstwy odpowiedzialnej m.in. za funkcje typu Phone Link); zalogowanie się kontem Microsoft wzmacnia powiązanie (przypisywany jest wtedy identyfikator urządzenia zapisywany w rejestrze).
Innymi słowy: to stały „numer seryjny" Twojej instalacji Windows, który usługi systemowe raportują do Microsoftu w tle.
Jak to śledzi
Usługi działające w tle - telemetria diagnostyczna, aktualizacje peer-to-peer, funkcje powiązane z kontem - przekazują GDID na serwery Microsoftu. Ponieważ identyfikator jest stały, ta sama maszyna wygląda tak samo niezależnie od tego, przez jaki adres IP w danym momencie wychodzi do sieci.
Dalej jest już „zwykła" korelacja: mając znaczniki czasu aktywności powiązanej z danym GDID, śledczy zestawiają je z logami połączeń, logowaniami do kont w social mediach czy usług gamingowych i danymi z innych źródeł. W opisywanej sprawie taka korelacja objęła aktywność z kilku krajów na przestrzeni miesięcy i doprowadziła do zatrzymania na lotnisku oraz ekstradycji.
Dlaczego VPN nie pomaga
Najważniejsza obserwacja jest architektoniczna, nie „konfiguracyjna":
VPN to narzędzie sieciowe. Zmienia widoczny adres IP i szyfruje ruch w tunelu - czyli chowa trasę. GDID żyje piętro niżej, na poziomie systemu operacyjnego, i dociera do dostawcy niezależnie od trasy sieciowej. Śledczy nie musi „przebić" VPN-a; wystarczy, że zestawi dane Microsoftu o aktywności GDID z innymi znacznikami czasu.
Ta sama logika dotyczy pozostałych identyfikatorów warstwy urządzenia: Advertising ID, telemetrii diagnostycznej czy fingerprintu przeglądarki (canvas, WebGL, czcionki, strefa czasowa). Żaden z nich nie znika po włączeniu VPN-a, bo żaden nie jest atrybutem sieci.
Czego (nie) da się z tym zrobić
Według doniesień nie ma przełącznika, który w pełni wyłącza GDID - pełne zablokowanie łamie aktywację systemu i aplikacje ze Sklepu (UWP). Ustawienia pozwalają jedynie ograniczyć zakres zbieranych danych:
- Ustawienia → Prywatność i zabezpieczenia → Diagnostyka i opinie - wyłącz opcjonalne dane diagnostyczne.
- Ustawienia → Prywatność i zabezpieczenia → Rekomendacje i oferty - wyłącz spersonalizowane reklamy i śledzenie uruchomień.
- Ustawienia → Prywatność i zabezpieczenia → Wyszukiwanie - wyłącz wyszukiwanie w chmurze.
- Rozważ konto lokalne zamiast konta Microsoft; Advertising ID wyłącz osobno.
Reinstalacja systemu generuje nowy GDID - ale to środek skrajny, a nie codzienna higiena. Najuczciwszy wniosek brzmi: te ustawienia zmniejszają ilość przekazywanych danych, lecz nie sprawiają, że urządzenie staje się anonimowe.
Luka po stronie przejrzystości
Poza samą techniką doniesienia wskazują na problem zarządczy: brak opublikowanej polityki określającej, kiedy dokładnie dane GDID są udostępniane, brak konsumenckiego opt-outu i brak raportu przejrzystości. Dla organizacji to nie ciekawostka, tylko realny temat dla inspektora ochrony danych.
Co to znaczy dla organizacji
Trzy praktyczne wnioski:
- Atrybucja przeniosła się na endpoint. Telemetria urządzeń jest bogatsza, niż wiele zespołów zakłada - a to zmienia model ryzyka przy pracy zdalnej, BYOD i stacjach used-for-anything.
- VPN to nie „prywatność". To narzędzie sieciowe. Traktowanie go jak uniwersalnej warstwy anonimowości to błąd, który audytor i IOD powinni odnotować.
- Mapuj przepływy danych. Świadomość, jaką telemetrię wysyłają systemy i dostawcy, wpisuje się wprost w wymogi zarządzania ryzykiem i łańcuchem dostaw z NIS2 / KSC - łącznie z oceną skutków (DPIA) tam, gdzie jest wymagana.
Dla zespołów ofensywnych to z kolei przypomnienie, że fingerprinting urządzenia bywa skuteczniejszym wektorem deanonimizacji niż analiza samego ruchu sieciowego - i warto go uwzględniać zarówno w testach, jak i w modelowaniu zagrożeń.
Podsumowanie
Anonimowość to model warstwowy. VPN adresuje warstwę sieci; GDID, telemetria i fingerprint należą do warstwy urządzenia - i to tam, coraz częściej, następuje realna identyfikacja. Żadne pojedyncze narzędzie nie „załatwia prywatności"; liczy się spójny obraz całego endpointu.
Chcesz zrozumieć, jaką telemetrię i jakie identyfikatory faktycznie emitują Twoje systemy - i co z tego wynika dla zgodności? Umów konsultację.
Źródła: Windows Latest · Cybernews · Tom's Hardware · IBTimes UK