Identificador do Windows 11 leva cibercriminoso à prisão

O Departamento de Justiça dos EUA, com auxílio do FBI e da polícia finlandesa, prendeu na semana passada um jovem de 19 anos, suspeito de integrar o grupo de extorsão Scattered Spider. O preso é Peter Stokes, que tem dupla cidadania americana e estoniana, e foi detido em Helsinque quando tentava embarcar para o Japão. A Microsoft auxiliou a investigação ao compartilhar com as autoridades dados do identificador global de dispositivo (GDID) do Windows 11 do então suspeito.

O GDID é um identificador único atribuído a cada instalação do Windows, usado para rastrear telemetria específica do dispositivo. Os investigadores conseguiram vincular o hardware físico de Stokes à atividade na internet e a locais por meio desse código, conforme documentos judiciais citados no artigo. O sistema registrou atividade na web, histórico de jogos, endereços IP, uso de ferramentas como Ngrok e status do Azure, todos com timestamps.

Grupo Scattered Spider teria extorquido mais de US$ 100 milhões

A acusação contra Stokes decorre de um ataque ocorrido em maio de 2025 contra uma joalheria de luxo nos Estados Unidos. Ele e amigos teriam ligado para o helpdesk da empresa usando Google Voice, se passando por funcionários, e convenceram a pessoa que atenderu a redefinir credenciais de três contas, duas com privilégios de administrador. O grupo, supostamente incluindo Stokes, roubou dados e exigiu resgate de US$ 8 milhões em criptomoedas.

Stokes foi extraditado para os EUA e compareceu a um tribunal federal em Chicago no dia 30 de junho. Ele permanece sob custódia, aguardando julgamento pelas acusações de conspiração, invasão cibernética e fraude. A identidade do suspeito já era conhecida desde 2024, mas por ser menor de idade e residir entre Estônia e Emirados Árabes, ele permaneceu sob monitoramento até o momento da prisão.

O caso reacendeu discussões sobre a granularidade dos dados de telemetria coletados pela Microsoft e as implicações de privacidade.