Tecnologia

La telemetria di Windows incastra un hacker estone

Il caso Peter Stokes mostra come telemetria Windows, GDID e URL visitati possano diventare prove digitali in un’indagine cyber.

08 lug 2026 4 min lettura A cura di Redazione
La telemetria di Windows incastra un hacker estone
Condividi

L’arresto e l’estradizione negli Stati Uniti del diciannovenne estone Peter Stokes, accusato di reati informatici, riportano al centro del dibattito un tema poco visibile ma decisivo: la quantità di segnali che un sistema operativo può generare mentre un utente crede di muoversi dietro strumenti di anonimizzazione. Nel caso emerso dagli atti, l’elemento tecnico più sensibile riguarda la telemetria di Windows, che avrebbe permesso agli investigatori di collegare attività online, account e dispositivo principale.

Il passaggio chiave è il GDID, acronimo di Global Device Identifier, un identificatore associato al dispositivo. L’FBI avrebbe ottenuto da Microsoft, tramite subpoena, log di telemetria contenenti sia il GDID di Stokes sia alcuni siti visitati dal suo computer Windows. La combinazione tra identificatore persistente e cronologia di attività ha trasformato un dato pensato anche per diagnostica, sicurezza e gestione del software in un tassello investigativo.

L’esistenza del GDID non è una sorpresa per chi segue da tempo il funzionamento di Windows. La raccolta telemetrica del sistema operativo è stata analizzata più volte e Microsoft ha già spiegato pubblicamente che le modalità estese, indicate come Full o Optional, possono inviare liste di URL analizzati da SmartScreen e Defender insieme all’identificatore del dispositivo. Con Edge, in questa configurazione, il flusso può arrivare a includere ogni URL visitato. I documenti giudiziari, tuttavia, non chiariscono quale meccanismo specifico abbia generato l’invio dei dati nel caso Stokes.

Un identificatore di dispositivo può trasformarsi in una prova investigativa decisiva

La distinzione tra configurazioni conta anche per le imprese, perché non tutte le modalità telemetriche hanno lo stesso perimetro. Dalla ricostruzione disponibile, è probabile che il dispositivo avesse la telemetria impostata su Optional o Full, mentre la modalità Required o Basic non risulta trasmettere URL per impostazione predefinita. Il punto operativo è noto agli amministratori IT: la telemetria può essere utile per debug, sicurezza, inventario e gestione, ma diventa delicata quando è attiva di default e non esiste, nelle edizioni Windows Home e Professional, un interruttore semplice per disattivarla del tutto.

Gli investigatori avrebbero usato il GDID per collegare Stokes a un account ngrok, perché lo strumento era stato usato nella stessa sessione in cui erano stati aperti anche account Facebook e Snapchat. Da lì il quadro si è allargato: nei documenti compaiono collegamenti tra registrazioni di viaggio, un indirizzo IP di New York e una permanenza all’Empire Hotel, facilitati anche da foto della stanza pubblicate online. La catena degli indizi non si ferma quindi al sistema operativo, ma somma tracce di rete, servizi cloud, immagini e accessi social.

La VPN nasconde l’IP, non cancella gli altri segnali digitali

Nel percorso investigativo compaiono anche Google e Apple. Google avrebbe collegato un numero usato per phishing allo stesso indirizzo IP e alla stessa data in cui era stato creato l’account ngrok. L’account ngrok, a sua volta, sarebbe stato registrato con un indirizzo Gmail connesso a un secondo numero telefonico impiegato per chiamate di phishing. In mezzo, emerge anche l’uso del gioco Growtopia di Ubisoft, avviato poco prima di accessi ad account Apple e, nelle settimane successive, agli stessi profili Facebook e Snapchat citati negli atti.

Stokes avrebbe tentato di coprire le tracce usando una VPN su server Tzulo, il tunneling di ngrok e teleport.sh. Ma nascondere l’indirizzo IP di origine rappresenta solo un livello della difesa dell’anonimato. Se configurata male, una VPN può lasciare che applicazioni o funzioni del sistema operativo comunichino verso l’esterno con l’indirizzo reale; anche quando funziona, non impedisce a software e servizi di inviare identificatori, dati di attivazione, richieste di licenza o segnali legati all’hardware.

Il fingerprinting moderno nasce dalla somma di software, account e servizi

Per aziende e utenti avanzati, il caso mette in fila una lezione concreta sulla superficie di tracciamento del software moderno. Il fingerprinting non dipende da un solo fornitore né da un’unica tecnologia: sistemi operativi, browser, servizi cloud, strumenti per sviluppatori e piattaforme consumer possono generare identificatori o log accessibili tramite ordine giudiziario. La telemetria Windows è il dettaglio che ha acceso il dibattito, ma la traiettoria più ampia riguarda l’intero ecosistema digitale, dove ogni applicazione può diventare un punto di correlazione tra persona, dispositivo e comportamento online.

Articoli Correlati