← Wróć do bloga

// blog · Prywatność / OSINT

GDID: identyfikator Windows, którego VPN nie ukryje

W lipcu 2026 r. przez media technologiczne przeszła sprawa, która na nowo rozgrzała dyskusję o prywatności w Windowsie. Z dokumentów federalnych dotyczących zatrzymania domniemanego członka grupy Scattered Spider wynikało, że śledczy powiązali aktywność podejrzanego z konkretnym urządzeniem dzięki GDID - Global Device Identifier. Podejrzany korzystał z VPN-a, zmieniał adresy IP i łączył się przez zdalne pulpity - a mimo to jego maszyna pozostawała rozpoznawalna. Jak ujęła to jedna z relacji: „VPN ukrył trasę sieciową. Nie ukrył maszyny."

Kontekst. To materiał edukacyjny o prywatności i atrybucji na poziomie urządzenia. Opisuje mechanizm publicznie udokumentowany w doniesieniach prasowych i ma pomóc zrozumieć ograniczenia popularnych narzędzi „anonimizujących", a nie wspierać unikanie zgodnej z prawem odpowiedzialności.

Czym jest GDID

Global Device Identifier to - według opisu przypisywanego Microsoftowi - „trwały, przypisany do urządzenia identyfikator, który jednoznacznie oznacza instalację systemu Windows". Kluczowe cechy według dostępnych doniesień:

Innymi słowy: to stały „numer seryjny" Twojej instalacji Windows, który usługi systemowe raportują do Microsoftu w tle.

Jak to śledzi

Usługi działające w tle - telemetria diagnostyczna, aktualizacje peer-to-peer, funkcje powiązane z kontem - przekazują GDID na serwery Microsoftu. Ponieważ identyfikator jest stały, ta sama maszyna wygląda tak samo niezależnie od tego, przez jaki adres IP w danym momencie wychodzi do sieci.

Trzy różne wyjścia VPN, jeden stały GDID - wszystkie sesje dają się zlinkować do jednego urządzenia
//Trzy różne wyjścia VPN, jeden stały GDID - wszystkie sesje dają się zlinkować do jednego urządzenia

Dalej jest już „zwykła" korelacja: mając znaczniki czasu aktywności powiązanej z danym GDID, śledczy zestawiają je z logami połączeń, logowaniami do kont w social mediach czy usług gamingowych i danymi z innych źródeł. W opisywanej sprawie taka korelacja objęła aktywność z kilku krajów na przestrzeni miesięcy i doprowadziła do zatrzymania na lotnisku oraz ekstradycji.

Dlaczego VPN nie pomaga

Najważniejsza obserwacja jest architektoniczna, nie „konfiguracyjna":

VPN działa na warstwie sieci; GDID, Advertising ID, telemetria i fingerprint należą do warstwy urządzenia
//VPN działa na warstwie sieci; GDID, Advertising ID, telemetria i fingerprint należą do warstwy urządzenia

VPN to narzędzie sieciowe. Zmienia widoczny adres IP i szyfruje ruch w tunelu - czyli chowa trasę. GDID żyje piętro niżej, na poziomie systemu operacyjnego, i dociera do dostawcy niezależnie od trasy sieciowej. Śledczy nie musi „przebić" VPN-a; wystarczy, że zestawi dane Microsoftu o aktywności GDID z innymi znacznikami czasu.

Ta sama logika dotyczy pozostałych identyfikatorów warstwy urządzenia: Advertising ID, telemetrii diagnostycznej czy fingerprintu przeglądarki (canvas, WebGL, czcionki, strefa czasowa). Żaden z nich nie znika po włączeniu VPN-a, bo żaden nie jest atrybutem sieci.

Czego (nie) da się z tym zrobić

Według doniesień nie ma przełącznika, który w pełni wyłącza GDID - pełne zablokowanie łamie aktywację systemu i aplikacje ze Sklepu (UWP). Ustawienia pozwalają jedynie ograniczyć zakres zbieranych danych:

Reinstalacja systemu generuje nowy GDID - ale to środek skrajny, a nie codzienna higiena. Najuczciwszy wniosek brzmi: te ustawienia zmniejszają ilość przekazywanych danych, lecz nie sprawiają, że urządzenie staje się anonimowe.

Luka po stronie przejrzystości

Poza samą techniką doniesienia wskazują na problem zarządczy: brak opublikowanej polityki określającej, kiedy dokładnie dane GDID są udostępniane, brak konsumenckiego opt-outu i brak raportu przejrzystości. Dla organizacji to nie ciekawostka, tylko realny temat dla inspektora ochrony danych.

Co to znaczy dla organizacji

Trzy praktyczne wnioski:

Dla zespołów ofensywnych to z kolei przypomnienie, że fingerprinting urządzenia bywa skuteczniejszym wektorem deanonimizacji niż analiza samego ruchu sieciowego - i warto go uwzględniać zarówno w testach, jak i w modelowaniu zagrożeń.

Podsumowanie

Anonimowość to model warstwowy. VPN adresuje warstwę sieci; GDID, telemetria i fingerprint należą do warstwy urządzenia - i to tam, coraz częściej, następuje realna identyfikacja. Żadne pojedyncze narzędzie nie „załatwia prywatności"; liczy się spójny obraz całego endpointu.

Chcesz zrozumieć, jaką telemetrię i jakie identyfikatory faktycznie emitują Twoje systemy - i co z tego wynika dla zgodności? Umów konsultację.


Źródła: Windows Latest · Cybernews · Tom's Hardware · IBTimes UK

← Wróć do bloga