美國司法部近日宣布逮捕起訴一名年僅 19 歲的駭客 Peter Stokes,涉嫌參與知名網路犯罪組織「Scattered Spider」(分散蜘蛛),在 2025 年 5 月成功入侵一家奢侈品珠寶零售商的系統,並勒索 800 萬美元(約新台幣 2.6 億元)的加密貨幣贖金。雖然他在犯案過程中全程使用 VPN 與隧道傳輸服務來隱藏真實 IP 位置,但最終卻被 Windows 系統中一項長期備受爭議的內建功能出賣,那就是「全球裝置識別碼」(Global Device Identifier,簡稱 GDID)的遙測資料。
美國司法部成功逮捕19歲天才駭客,翻車原因竟是因為 Windows 隱藏 GDID 功能
案件經過:19 歲駭客的「天才」犯罪之路
根據美國司法部於 7 月 1 日公開的起訴書,Peter Stokes 是一名擁有美國與愛沙尼亞雙重國籍的 19 歲青年,在駭客圈中使用「Bouquet」、「Spencer」、「Jordan」等化名活動。 他所屬的 Scattered Spider 是一個以社會工程攻擊聞名的駭客組織,專門鎖定大型企業的 IT 服務台進行入侵,CISA(美國網路安全暨基礎設施安全局)曾發布專門的威脅公告示警。
2025 年 5 月,Stokes 與同夥鎖定一家奢侈品珠寶零售商發動攻擊。他們假冒該公司員工致電 IT 服務台,成功誘導客服人員交出密碼重置資訊,從而取得三個帳戶的存取權限。入侵後,他們竊取了大量客戶資料與公司機密(約77GB),並向該珠寶商勒索 800 萬美元的加密貨幣贖金。雖然該零售商最終成功將駭客逐出網路且未支付贖金,但後續的業務中斷與系統修復費用仍造成超過 200 萬美元(約新台幣 6,500 萬元)的損失。
Stokes 在犯案過程中展現了相當程度的反偵查意識:全程使用 VPN 服務與 ngrok 隧道傳輸協定對網路流量進行深度加密與繞道,試圖讓自己的真實 IP 位置無跡可尋。然而,他忽略了一個關鍵問題:他使用的 Windows 電腦本身,就是一個永不關機的定位器。
Windows GDID:微軟的「內建 GPS」
GDID(Global Device Identifier,全球裝置識別碼)是每一套 Windows 系統安裝時自動產生的唯一識別碼,用於收集裝置專屬的遙測資料。這個識別碼綁定裝置的底層硬體特徵,即使更換網路、改變 IP、甚至重灌系統,只要不更換主機板等核心硬體,GDID 就不會改變。
FBI 在調查這宗珠寶商入侵案時遇到了技術瓶頸,傳統的 IP 追蹤完全失效,因為 Stokes 使用了多層跳板與加密隧道。然而,調查人員發現,雖然網路層的資訊可以偽造,但 Windows 遙測資料中記錄的 GDID 卻是一個無法繞過的指紋。
美國法院隨後下令微軟交出與攻擊時間點相符的遙測軌跡。微軟提供的資料直接證實:發動攻擊的裝置 GDID,與 Peter Stokes 個人使用的 Windows 裝置完全一致。FBI 進一步交叉比對了該 GDID 在不同網站、社群平台的登入記錄與瀏覽活動,最終鎖定 Stokes 的真實身份。
芬蘭落網、炫富自爆
Peter Stokes 於今年 4 月在芬蘭被當地警方依據國際刑警組織(Interpol)的紅色通報逮捕,並於 7 月初被引渡至美國芝加哥接受審判。 他被指控共謀、電腦詐欺與電信詐欺等多項罪名。
有趣的是,除了 Windows GDID 這個技術性的破案關鍵外,Stokes 的「炫富習慣」也成為協助警方鎖定其行蹤的輔助線索。他在 Snapchat 上頻繁張貼入住奢華飯店、開超跑、揮霍金錢的照片,種種炫耀行為讓調查人員更容易將網路上的匿名身份與現實中的個人連結起來。當他在機場被逮捕時,隨身行李中更被搜出兩顆藏有核心犯罪證據的硬碟,成為日後起訴的重要證物。
Proton 公開開火:Windows 就是間諜軟體
這起案件曝光後,在網路安全界引發了遠比「駭客落網」更深層的討論。提供 Proton VPN 與 Proton Mail 等隱私服務的 Proton 公司,直接公開發文將矛頭指向微軟,直言:「Windows 實際上具備間諜軟體特質。」
Proton 指出,Windows 的 GDID 機制在追蹤與記錄用戶裝置資訊時,從未獲得用戶的明確知情同意。在微軟龐大的技術文件中,GlobalDeviceId(GDID)僅出現在一個極度隱蔽的底層技術文件裡,一般使用者根本不可能接觸到。用戶無法選擇關閉這項追蹤,也無法清除已產生的 GDID 識別碼,唯一徹底移除的方式是更換主機板。
雖然在這起案件中,GDID 發揮了「打擊犯罪」的正面作用,但這也意味著微軟在後台收集的遙測資料庫規模與深度,已經達到足以隨時定位個人物理設備的程度。Proton 強調:「用戶從未同意被這樣追蹤,也無法選擇退出。」
Scattered Spider:涉案金額逾 1 億美元的駭客帝國
Scattered Spider 是近年來最活躍的網路犯罪組織之一,以精準的社會工程攻擊聞名。該組織成員通常冒充 IT 支援人員,打電話給目標公司的服務台,利用心理操縱手法騙取員工憑證,進而入侵企業內部系統。據統計,Scattered Spider 關聯超過 100 起網路入侵案件,累計獲利超過 1 億美元(約新台幣 32.5 億元)。
他們的攻擊目標涵蓋科技公司、金融機構、醫療機構與零售商等多個產業。2023 年,該組織曾入侵賭場巨頭 MGM Resorts 與 Caesars Entertainment,造成數千萬美元的損失,並因此聲名大噪。
結語
這起案件為所有依賴 VPN 與加密工具來保護隱私的使用者敲響了警鐘:即使網路層的防護做得再嚴密,作業系統層級的遙測資料仍可能成為突破口。對於一般使用者而言,Windows GDID 的存在意味著微軟有能力在未經明確同意的情況下,長期追蹤每一台 Windows 裝置的活動足跡。這究竟是打擊犯罪的利器,還是侵犯隱私的定時炸彈?答案可能取決於你站在法律 enforcement 還是個人隱私權的哪一邊。
另外這份美國司法部/伊利諾北區聯邦法院的起訴文件內容相當完整,包含了整個作案方式、如何透過社交工程要求重設員工帳號 2FA,進而進入內部支援系統,看到使用者 support tickets 與個資。
文件引用 Stokes 與共犯的聊天,內容包括搜尋 support ticket、遠端桌面、停用帳號、以及「不要在 Company H 平台上講這些,去 Telegram」之類的對話細節、攻擊方式、FBI 是怎麼見招拆招的,有興趣的朋友可以去看看詳細的原文。





