ABD’de kamuoyuyla paylaşılan yeni mahkeme belgeleri, Microsoft’un siber suç örgütü Scattered Spider ile bağlantılı olduğu iddia edilen 19 yaşındaki Peter Stokes’un “Bouquet” tespit edilmesinde önemli rol oynadığını ortaya koydu. Belgelere göre FBI; VPN’ler, tünelleme araçları ve farklı ülkeler üzerinden yönlendirilen IP adreslerine rağmen, Windows işletim sisteminde bulunan Evrensel Cihaz Kimliği (GDID) adlı cihaz tanımlayıcısı sayesinde şüphelinin dijital faaliyetlerini aynı cihazla ilişkilendirebildi.
GDID, Aynı Windows Kurulumunu Takip Etmeyi Sağladı
GDID, Microsoft tarafından telemetri, çökme raporları, özellik kullanımı ve lisans doğrulama gibi işlemlerde kullanılan kalıcı bir cihaz kimliği olarak görev yapıyor. Bu tanımlayıcı, işletim sistemi yeniden kurulmadığı sürece değişmiyor ve aynı Windows kurulumunun farklı çevrim içi etkinliklerle ilişkilendirilmesine olanak tanıyor.
Soruşturma kapsamında FBI’ın aynı GDID üzerinden çok sayıda dijital faaliyeti birbiriyle eşleştirebildiği belirtiliyor. Mahkeme belgelerine göre Microsoft kayıtları sayesinde soruşturmacılar; zaman damgalı web etkinliklerini, kullanılan IP adreslerini, oyun aktivitelerini, Azure hesap etkinliklerini ve ngrok gibi araçların kullanımını inceleyebildi.
Mahkeme dosyalarında yer alan en dikkat çekici ayrıntılardan biri, Mayıs 2025’te Tiffany & Co.’ya yönelik gerçekleştirildiği iddia edilen siber saldırıda kullanılan ngrok hesabının oluşturulma süreci oldu. Hesap bir VPN bağlantısı üzerinden oluşturulmuş olmasına rağmen Microsoft kayıtları, aynı anda 6755467234350028 numaralı GDID’ye sahip Windows cihazının ngrok kayıt sayfasına eriştiğini ortaya koydu.
Soruşturmacılar, ayrıca Stokes’un farklı zamanlarda Snapchat, Apple ve Facebook hesaplarına yeni IP adresleri üzerinden giriş yaptığını, ancak her oturumda aynı GDID’nin kullanıldığını belirledi. Tallinn, New York, Tayland ve Almanya gibi farklı konumlardan görünen bağlantılar, IP adresleri değişse bile aynı Windows cihazına ait dijital izler sayesinde tek bir kullanıcıyla ilişkilendirilebildi.
Microsoft, Peter Stokes’u Ekim 2024’te, henüz 17 yaşındayken tespit ederek yetkililere suç duyurusunda bulundu. İddialara göre soruşturmayı yürüten makamlar, Stokes’un reşit olmasını bekledikten sonra operasyon düzenledi ve şüpheli Nisan 2026’da Helsinki Havalimanı’nda gözaltına alındı.
Öte yandan mahkeme belgeleri yalnızca soruşturmanın teknik ayrıntılarını değil, Windows’ta kullanılan GDID sistemiyle ilgili gizlilik tartışmalarını da yeniden gündeme taşıyor. Aynı altyapının tüm Windows kurulumlarında bulunduğuna dikkat çekiliyor. Ayrıca kullanıcıların GDID kullanımını devre dışı bırakabilecek bilinen bir vazgeçme mekanizmasının bulunmadığı ve Microsoft’un şeffaflık raporlarında GDID verilerinin kolluk kuvvetleriyle paylaşımına ilişkin özel istatistiklere yer vermediği de ifade ediliyor. Bu durum, söz konusu teknolojinin adli bilişim açısından önemini ortaya koyarken, kullanıcı gizliliği konusunda da yeni tartışmaları beraberinde getiriyor.
Kaynak: Com Feed
