ua-in.chваш путівник по життю у Швейцарії

Актуальна інформація та підтримка для українців у Швейцарії

← До розділу статей

Як телеметрія Windows здала хакера попри VPN, і що це означає для звичайного користувача

19-річного хакера, ймовірного учасника Scattered Spider, вирахували й заарештували завдяки прихованому ідентифікатору Windows (GDID), який Microsoft передала ФБР, попри VPN і зміну IP у трьох країнах. Розбираємо, що таке GDID і телеметрія Windows, чому VPN не робить пристрій анонімним, і як зменшити обсяг даних, які збирає ваша система.

Автор: Створено: 11-07-2026 21:48Оновлено: 11-07-2026 22:01
Повідомити про неточність
Як телеметрія Windows здала хакера попри VPN, і що це означає для звичайного користувача

Матеріал автора має інформаційний характер і виражає лише його думку.

Історія, яка облетіла світ кібербезпеки: 19-річного хакера вирахували не через складний злом, а завдяки прихованому ідентифікатору, який Windows присвоює кожному комп'ютеру. Він користувався VPN і міняв IP-адреси в трьох країнах, але це не допомогло. Розбираємо, як це працює і що з цього варто винести звичайному користувачу.

Що сталося

Пітера Стоукса (Peter Stokes), 19 років, громадянина США й Естонії та ймовірного учасника відомого угруповання Scattered Spider, заарештували в аеропорту Гельсінкі, коли він намагався вилетіти до Японії. Затримання провели за участю ФБР і фінського бюро розслідувань.

Головне звинувачення пов'язане з атакою у травні 2025 року на американську ювелірну компанію: зловмисники видали себе за IT-персонал, отримали адмін-доступ, викрали дані й вимагали викуп у $8 млн у криптовалюті. Компанія викуп не заплатила, але збитки від збою оцінили приблизно у $2 млн.

Найцікавіше - не сама атака, а як його знайшли.

Що таке GDID

Ключем стало те, про що більшість користувачів навіть не здогадується. GDID (Global Device Identifier) - це унікальний ідентифікатор, який Windows присвоює кожній інсталяції системи й прив'язує до телеметрії пристрою.

Простими словами: у вашої копії Windows є свого роду «цифровий серійний номер», який супроводжує дані, що система відправляє в Microsoft. Він не змінюється від того, що ви підключили VPN або змінили IP-адресу - бо це ідентифікатор самого пристрою, а не мережевого з'єднання.

Як саме вирахували - попри VPN

Тут і криється те, чого багато хто не розуміє. VPN ховає ваш IP і шифрує трафік, але не робить сам пристрій анонімним. Поки на комп'ютері працює Windows зі стандартною телеметрією, система продовжує відправляти діагностичні дані, прив'язані до GDID.

Microsoft передала ці дані ФБР. Оскільки GDID лишався незмінним попри VPN і зміну IP у трьох країнах, слідчі змогли зшити все в один таймлайн:

  • IP-адреси, з яких заходив пристрій;
  • історія веб-активності;
  • навіть історія відеоігор;
  • використання інструментів (зокрема Ngrok для тунелювання);
  • активність в Azure;
  • усе - з точними мітками часу.

Тобто VPN приховував «звідки», але GDID відповідав на питання «хто» - і цього виявилося достатньо, щоб побудувати доказову базу.

Що таке телеметрія Windows взагалі

Телеметрія - це діагностичні дані, які операційна система збирає й відправляє виробнику: інформація про пристрій, збої, використання функцій, продуктивність. Офіційна мета - покращувати систему, ловити баги, підвищувати безпеку.

У Windows є кілька рівнів збору даних. Формально користувач може обрати між «необхідними» (Required/Basic) та «розширеними» (Optional/Full) діагностичними даними. Але навіть на мінімальному рівні певний обсяг інформації, прив'язаної до ідентифікатора пристрою, все одно передається.

Це не «шпигунство» в прямому сенсі - це стандартний механізм сучасних ОС (подібне збирають і macOS, Android, iOS). Але кейс Стоукса наочно показав, наскільки детальними можуть бути ці дані та кому вони можуть бути передані.

Чому це важливо для звичайного користувача

Ви не хакер, тож ФБР вашими іграми навряд чи цікавиться. Але висновки корисні всім:

  • VPN - не «плащ-невидимка». Він захищає трафік і приховує IP, але не робить пристрій анонімним. Ідентифікатори рівня пристрою (як GDID) працюють поверх VPN.
  • Ваша ОС постійно щось відправляє. Це нормально, але варто розуміти обсяг і мати контроль над налаштуваннями.
  • Анонімність в інтернеті складніша, ніж здається. Один інструмент (VPN, режим інкогніто) не дає повної приватності - це лише один шар.

Як зменшити обсяг телеметрії Windows

Повністю вимкнути телеметрію у звичайних версіях Windows не можна, але можна суттєво її обмежити. Практичні кроки:

  • Параметри > Конфіденційність і безпека > Діагностика та відгуки: переключіть діагностичні дані з «Необов'язкові» (Optional) на мінімальний рівень. Вимкніть «Покращення роботи з рукописним вводом», «Індивідуальні враження» та надсилання додаткових даних.
  • Вимкніть рекламний ідентифікатор (Advertising ID) у розділі конфіденційності - він використовується для персоналізації реклами.
  • Перевірте дозволи застосунків (мікрофон, камера, місцезнаходження, історія дій) і залиште лише потрібне.
  • Журнал дій (Activity history): вимкніть збереження історії дій, якщо не користуєтесь нею.
  • У версіях Pro/Enterprise доступні додаткові налаштування через групові політики, але для більшості домашніх користувачів достатньо перших кроків.

Важливо: це зменшує обсяг даних, але не робить вас невидимим і не прибирає ідентифікатор пристрою повністю. Це про розумний мінімум, а не про параною.

А що з Mac (macOS)?

Логічне питання: а на Mac такого немає? Є, просто в іншій формі - хоча Apple зазвичай робить приватність гучною частиною свого маркетингу.

  • Діагностика й аналітика. macOS так само збирає діагностичні дані й може надсилати їх Apple. Це пропонують увімкнути під час першого налаштування, і це можна вимкнути: Системні параметри > Конфіденційність і безпека > Аналітика та покращення.
  • Апаратні ідентифікатори. У кожного Mac є серійний номер і апаратний UUID - тобто ідентифікатори рівня пристрою існують і тут, як і у Windows.
  • Перевірка застосунків (Gatekeeper / нотаризація). Коли ви запускаєте програму, macOS звертається до серверів Apple, щоб перевірити її підпис. Це означає, що Apple потенційно бачить, які застосунки й коли ви відкриваєте (і ваш IP). У 2020 році навколо цього був гучний скандал (сервіс trustd / OCSP), після якого Apple пообіцяла не логувати IP-адреси й додати можливість відмовитися.
  • Реклама й сервіси. Apple теж має рекламні ідентифікатори (на iPhone) і збирає дані своїх сервісів, хоча політика за замовчуванням суворіша, ніж у багатьох.

Підсумок: у macOS немає публічного аналога саме з назвою «GDID», але ідентифікатори пристрою, телеметрія й перевірки застосунків там теж є. Жодна сучасна ОС не робить вас невидимим - Apple просто трохи суворіша в налаштуваннях за замовчуванням і активніше говорить про приватність. Урок універсальний: питання не в тому, «Windows чи Mac», а в розумінні, які сліди лишає будь-який пристрій.

Ширший контекст: цифрові відбитки всюди

GDID - лише один з багатьох «цифрових відбитків», якими наповнений сучасний софт. Вас можуть впізнавати за:

  • відбитком браузера (набір шрифтів, роздільна здатність, плагіни, версія - унікальна комбінація);
  • ідентифікаторами реклами на телефоні;
  • обліковими записами, у які ви залогінені (Google, Microsoft, Apple);
  • патернами поведінки (як ви друкуєте, коли активні, які сайти відвідуєте).

Тобто справжня анонімність - це не «увімкнув VPN», а комплекс заходів. Для більшості людей повна анонімність і не потрібна; потрібне розуміння, які сліди ви лишаєте.

Що з цього винести

  • Для злочинця історія Стоукса - кінець шляху: технології, які він недооцінив, зіграли проти нього.
  • Для звичайного користувача - здоровий урок цифрової гігієни: розумійте, що ваш пристрій постійно генерує дані, і не покладайтеся на один інструмент як на «повну анонімність».
  • Не варто панікувати й зносити Windows - варто налаштувати конфіденційність під себе й усвідомлено ставитися до слідів, які лишаєте.

Коротко про головне

  • 19-річного хакера (Scattered Spider) заарештували завдяки GDID - прихованому ідентифікатору пристрою у Windows.
  • GDID не змінюється від VPN чи зміни IP, тому Microsoft змогла передати ФБР зв'язний таймлайн активності.
  • Телеметрія - стандартний механізм сучасних ОС (Windows, macOS, мобільні), але буває дуже детальною.
  • VPN приховує трафік, а не пристрій. Анонімність - це комплекс, а не одна кнопка.
  • Обсяг телеметрії можна суттєво зменшити в налаштуваннях конфіденційності - і у Windows, і в macOS.

Часті питання (FAQ)

Чи означає це, що Windows шпигує за мною? Не в сенсі стеження за конкретною людиною. Це стандартна діагностична телеметрія, як у macOS чи мобільних ОС. Але кейс показав, наскільки детальними можуть бути ці дані та що вони можуть бути передані правоохоронцям за запитом.

А на Mac безпечніше? Не принципово. macOS теж має ідентифікатори пристрою, телеметрію й перевіряє застосунки через сервери Apple. Політика за замовчуванням трохи суворіша, але «невидимим» Mac вас не робить.

Мене можуть так само вирахувати? Технічно ідентифікатори пристрою існують у всіх. Але передача таких даних відбувається в межах розслідувань за юридичними запитами, а не «просто так». Пересічному користувачу це не загрожує в побуті.

VPN узагалі марний? Ні. VPN корисний: шифрує трафік, ховає IP, захищає в публічних мережах. Просто він не робить пристрій анонімним - це різні речі.

Що надійніше за VPN для приватності? Комплекс: мінімізація телеметрії, окремі браузери/профілі, контроль дозволів, обережність з обліковими записами. Для екстремальних сценаріїв - окремі ОС (наприклад, орієнтовані на приватність), але це вже нішева історія.

Чи можна повністю вимкнути телеметрію? У Home/Pro - ні, лише мінімізувати. Повне вимкнення можливе частково через корпоративні політики (Enterprise), але й там не на 100%. У macOS - аналогічно: можна зменшити, але не прибрати повністю.

Корисні посилання