FBI抓获19岁散蛛黑客:微软GDID数据助破案

近日,一场跨国网络犯罪打击行动在美国司法部、FBI以及芬兰国家调查局的联合部署下取得重大突破。当地时间2026年6月30日,一名年仅19岁的黑客嫌疑人彼得·斯托克斯(Peter Stokes)在赫尔辛...

互联网/IT

近日,一场跨国网络犯罪打击行动在美国司法部、FBI以及芬兰国家调查局的联合部署下取得重大突破。当地时间2026年6月30日,一名年仅19岁的黑客嫌疑人彼得·斯托克斯(Peter Stokes)在赫尔辛基机场被捕,他同时持有美国和爱沙尼亚双重国籍,正准备飞往日本。

图片

这起案件的核心焦点在于斯托克斯所属的“散蛛”(Scattered Spider)黑客组织。该团伙以擅长社会工程学诈骗闻名,曾通过伪装成企业内部员工的方式,利用谷歌语音拨打IT技术支持热线,诱骗客服重置账户登录凭证,从而入侵企业系统。2025年5月,斯托克斯参与了对一家美国高端珠宝经销商的网络攻击,导致企业核心数据被窃取,并被勒索800万美元(约合5428.4万元人民币)的加密货币赎金。

值得注意的是,尽管涉案企业最终自行恢复了系统访问权限并未支付赎金,但此次攻击仍造成直接经济损失达200万美元。这一案件成为追查斯托克斯的关键线索,检方通过分析攻击者留下的纸质与数字痕迹逐步锁定了嫌疑人。

在此次抓捕行动中,微软的全球设备标识符(GDID)系统发挥了决定性作用。GDID是每套Windows系统安装时分配的唯一识别码,用于采集设备专属遥测数据。调查人员通过斯托克斯使用的Windows设备,将他的实体硬件与特定网络行为、活动地点一一对应。微软向联邦调查局提供了带精确时间戳的全套日志数据,涵盖斯托克斯的网页浏览记录、游戏游玩历史、IP地址、黑客工具使用记录(含内网穿透工具Ngrok)、微软云Azure使用状态等全部信息。

此外,斯托克斯登机前往日本时随身携带的两块硬盘也成为关键证据,硬盘内留存大量可定罪的犯罪证据,进一步佐证了其涉案事实。根据法庭卷宗显示,早在检方完成案件证据链搭建前,GDID就已整理出斯托克斯完整的行为记录,警方只需梳理线索即可锁定嫌疑人。

然而,此次事件也引发了外界对微软GDID系统的广泛质疑。由于GDID标识符无法通过简单设置一键关闭或彻底清除,且微软采集的遥测数据精细程度极高,存在侵犯用户隐私的潜在风险。本次这套数据用于抓捕涉案黑客实属正面用途,但倘若此类海量数据落入居心叵测之人手中,后果不堪设想。

精通技术的用户长期以来都在诟病Windows过度采集遥测数据,网上盛行的系统精简优化风潮正是由此衍生。尽管如此,微软表示将继续加强数据安全保护措施,同时配合执法部门打击网络犯罪行为。

被捕后,斯托克斯被引渡至美国,并于2026年6月30日在芝加哥联邦法院首次出庭。目前,他仍处于羁押状态,面临共谋、网络入侵及欺诈等多项指控。此案不仅展示了跨国网络犯罪的复杂性,也凸显了现代执法技术在网络犯罪打击中的重要作用。