في مطار هلسنكي، وبينما كان شابٌّ في التاسعة عشرة يستعدّ لركوب طائرةٍ إلى اليابان، أوقفته الشرطة الفنلندية وصادرت منه قرصَي تخزينٍ صلبين سعةُ كلٍّ منهما تيرابايتان. لم يكن هذا لقاءً عابرًا؛ كان نهايةَ تحقيقٍ قاده مكتب التحقيقات الفيدرالي الأمريكي (FBI) لأشهر، وكانت الحلقة الحاسمة فيه مُعرّفًا رقميًّا صغيرًا مطبوعًا في نسخة ويندوز التي يستعملها المتّهم — مُعرّفٌ لم يستطع أن يخفيه رغم كل احتياطاته.
المتّهم هو بيتر ستوكس (Peter Stokes)، مواطنٌ يحمل الجنسيتين الأمريكية والإستونية، وُجّهت إليه تهمٌ بالاحتيال والتآمر والاختراق الحاسوبي على خلفية انتمائه المزعوم إلى عصابة Scattered Spider، إحدى أخطر عصابات الجريمة الإلكترونية في العالم. لكنّ ما جعل القضية تتصدّر النقاش التقني ليس الاعتقال نفسه، بل الطريقة: كيف تمكّنت مايكروسوفت من تحديد جهازٍ بعينه رغم أنّ صاحبه اختبأ خلف شبكةٍ افتراضية خاصّة (VPN) صُمّمت تحديدًا لإخفاء هويّته؟ والجواب فتح بابًا واسعًا على سؤالٍ يقلق كثيرين: ما الذي يعرفه نظام التشغيل الذي نستعمله كل يوم عن أجهزتنا فعلًا؟
ما المُعرّف الذي كشفه؟ (GDID)
في قلب القصة مُعرّفٌ اسمه المُعرّف العالميّ للجهاز (Global Device Identifier)، ويُختصر إلى GDID. هو رقمٌ فريدٌ تُنشئه مايكروسوفت ويرتبط بتثبيت ويندوز على جهازٍ معيّن، بحيث يميّز هذا الجهاز عن كل جهازٍ آخر في العالم. في ملفّ القضية ظهر مُعرّف المتّهم رقمًا صريحًا: 6755467234350028.
الغرض المُعلَن من هذا المُعرّف ليس التجسّس، بل وظائف تشغيلية معتادة تعتمد عليها كثيرٌ من الشركات: تقارير الأعطال والتشخيص (فحين ينهار النظام، تحتاج مايكروسوفت أن تعرف من أيّ جهازٍ جاء البلاغ)، وتحليل استخدام الميزات، ورصد أنماط إساءة الاستخدام — كأن يحاول جهازٌ واحد أن يطالب مرارًا بنسخٍ تجريبية مجانية أو تراخيص لا يستحقّها. وهذا المُعرّف أيضًا جزءٌ من سبب ظاهرةٍ يعرفها كثيرٌ من المستخدمين: أنّ تغيير مكوّنٍ رئيسيٍّ في الحاسوب قد يُبطِل تفعيل نسخة ويندوز، لأنّ النظام يربط الترخيص بهويّة الجهاز.
الأهمّ في فهم القصة أنّ هذا المُعرّف يصاحب اتّصالات برمجيات مايكروسوفت بخوادمها. فحين يتّصل جهازٌ يعمل بويندوز بخدماتٍ تابعة لمايكروسوفت، قد يحمل الطلبُ هذا المُعرّف. وهنا مكمن الخطر على من يريد إخفاء هويّته: هو مُعرّفٌ ثابتٌ يخصّ الجهاز، ولا يمكن حذفه أو تعطيله بضغطة زرّ كما تُعطَّل بعض إعدادات الخصوصية الأخرى.
كيف انكشف رغم الـVPN؟ سلسلة الأدلّة خطوةً بخطوة
النقطة التي يظنّ كثيرون أنها تحميهم هي بالضبط ما يوضّح لماذا فشلت حيلة المتّهم. لنفهم ذلك، لا بدّ من التمييز بين ما تخفيه الـVPN وما لا تخفيه.
الشبكة الافتراضية الخاصّة (VPN) تُمرّر اتّصالك عبر خادمٍ وسيط، فيرى الطرفُ الآخر عنوانَ الخادم بدل عنوانك الحقيقيّ (IP). هذا يخفي من أين تتّصل، لكنه لا يغيّر شيئًا في الجهاز الذي تتّصل منه. فنظام التشغيل نفسه، وبرمجياته، والمُعرّفات المطبوعة فيه تبقى كما هي. إذا حملت اتّصالاتُ برمجيات ويندوز مُعرّفَ الجهاز (GDID)، فإنّ الـVPN تخفي العنوان لكنها تمرّر المُعرّف سليمًا. تخيّل أنّ الـVPN كقناعٍ يغطّي وجهك؛ لكنك ما زلت ترتدي قميصًا يحمل رقمًا تسلسليًّا فريدًا لا يخفيه القناع.
الخطوة الأولى: حساب ngrok. استعمل المتّهم أداةً اسمها ngrok، وهي خدمة نفقٍ آمن (secure tunnel) تتيح الوصول إلى جهازٍ محجوبٍ خلف جدار حماية من الإنترنت الخارجي — أداةٌ مشروعة يستعملها المطوّرون، لكنها معروفةٌ أيضًا بأنّ عصابات مثل Scattered Spider تسيء استخدامها للتحكّم عن بُعد في الأجهزة المخترَقة. أنشأ المتّهم حسابًا على ngrok، وكان حريصًا: فعل ذلك عبر عنوان VPN (انتهى بالرقم .168)، ظنًّا أنّ هذا يقطع الخيط إلى هويّته.
الخطوة الثانية: المطابقة الزمنية. بعد أمرٍ قضائيّ، راجعت مايكروسوفت سجلّاتها بناءً على بيانات ngrok. المطابقة لم تعتمد على العنوان وحده (لأنه عنوان VPN يشترك فيه كثيرون)، بل على تقاطع العنوان مع التوقيت الدقيق: وجدت الشركة أنّ الجهاز حامل المُعرّف 6755467234350028 كان متّصلًا بخوادمها من عنوان الـVPN ذاته في اللحظة نفسها التي أُنشئ فيها حساب ngrok. هذا التقاطع ربط الحساب «المجهول» بجهازٍ محدّد.
الخطوة الثالثة: توسيع الدائرة. بعد ربط الحساب بالجهاز، بحث المحقّقون في تاريخ عناوين الإنترنت التي ظهر منها المُعرّف نفسه عبر الزمن، فوجدوا عناوين في تالين (عاصمة إستونيا)، ونيويورك، وتايلاند. بمقارنة أوقات هذه الظهورات بأوقات دخول ستوكس إلى حساباته الشخصية، أظهرت إفادة الـFBI أنّ كل تطابقٍ تقريبًا في عنوان الإنترنت اقترن بتسجيل دخولٍ إلى حساب Snapchat الخاصّ به في غضون دقائق. وأكّدت سجلّات Apple تطابقين آخرين في نيويورك وتايلاند، بينما أضافت سجلّات Facebook تداخلًا في تالين يعود إلى يونيو 2024.
بهذا اكتملت السلسلة: مُعرّف ويندوز ربط حساب ngrok المجهول بجهازٍ حقيقيّ، ثم ربطت المطابقةُ الزمنية ذلك الجهاز بحساباتٍ شخصيةٍ تحمل اسم المتّهم وصورته.
ما الذي حدث فعلًا؟ تصحيح الصورة الشائعة
انتشر تلخيصٌ مثيرٌ لهذه القصة يقول إنّ مايكروسوفت «سحبت من حاسوب المتّهم كل شيء: سجلّ تصفّحه، والتطبيقات التي يستعملها، وألعابه، وكل تنقّلاته، ثم سلّمتها للـFBI». هذا التلخيص يخلط بين ما تُثبته وثائق المحكمة وما يُضاف إليها من مبالغة.
ما تقوله الوثائق فعلًا أضيق وأدقّ. لم يكن الأمر تنزيلًا لمحتوى القرص الصلب أو قراءةً لكل نشاط المستخدم عن بُعد. كان مطابقةً بين مُعرّف جهازٍ وبين سجلّاتٍ موقّتة (timestamps) موجودةٍ لدى مايكروسوفت وخدماتٍ أخرى — أيْ متى ظهر هذا المُعرّف، ومن أيّ عنوان، وفي أيّ لحظة. صحيحٌ أنّ ملفّ القضية يشير إلى أنواعٍ من النشاط المسجَّل بأوقاتها (نشاط ويب، عناوين إنترنت، استخدام أدواتٍ مثل ngrok، حالة خدمة Azure)، لكنّ هذا بعيدٌ عن ادّعاء أنّ مايكروسوفت تملك أرشيفًا كاملًا لكل صفحةٍ زارها أو كل لعبةٍ لعبها. الكشف جاء من ربط عدّة مصادر بعضها ببعض — لا من مُعرّفٍ سحريّ واحدٍ يرى كل ما على الحاسوب.
الفارق ليس تفصيلًا لغويًّا. الصورة الأولى تُوحي بحاسوبٍ مفتوحٍ على مصراعيه أمام الشركة في كل لحظة؛ والصورة الأدقّ تُظهر شركةً تحتفظ بمُعرّفٍ وسجلّاتٍ موقّتة، فحين طلبتها جهةٌ قضائيّة، سلّمت ما لديها فطابقه المحقّقون مع أدلّةٍ أخرى. الأولى تبالغ في قدرة المُعرّف، والثانية تفسّر لماذا كان كافيًا رغم محدوديّته.
نقطةٌ أخرى تستحقّ التصحيح: القصة لا تخصّ «ويندوز 11» وحده. المُعرّف من نوع GDID جزءٌ من بنية مايكروسوفت لإدارة الأجهزة والتراخيص، لا ميزةً استُحدثت في إصدارٍ بعينه.
من هو بيتر ستوكس، وما عصابة Scattered Spider؟
بيتر ستوكس، المعروف بأسماءٍ مستعارة عدّة منها «Bouquet» و«Spencer» و«Jordan»، اعتُقل في العاشر من أبريل 2026 في هلسنكي بموجب نشرةٍ حمراء من الإنتربول (Interpol Red Notice)، ثم سُلّم إلى الولايات المتحدة ليمثل أمام محكمةٍ فيدرالية في شيكاغو بتعاونٍ بين الـFBI والمكتب الوطنيّ للتحقيقات في فنلندا.
يُتّهم ستوكس بالضلوع في أربعة اختراقاتٍ على الأقل، أوّلها يعود إلى مارس 2023 حين كان في السادسة عشرة، واستهدف منصّة تواصلٍ على الإنترنت. لكنّ الشكوى الرئيسية تدور حول هجومٍ في مايو 2025 على تاجرِ مجوهراتٍ فاخرة في الولايات المتحدة. وطريقة الهجوم تكشف توقيع العصابة: لم يكن اختراقًا تقنيًّا معقّدًا للأنظمة، بل هندسةً اجتماعية — اتّصل المهاجمون بمكتب الدعم الفنيّ (IT helpdesk) منتحلين صفة موظّفين، وأقنعوهم بإعادة تعيين بيانات الدخول، فحصلوا على حساباتٍ بصلاحيات المسؤول (administrator). ثم طالبوا بفديةٍ قدرها 8 ملايين دولار مقابل 100 غيغابايت من البيانات المسروقة؛ رفضت الشركة الدفع، لكنّ الاختراق كلّفها أكثر من مليونَي دولار في تعطّل العمليات وأعمال المعالجة.
أمّا عصابة Scattered Spider فظهرت نحو عام 2022، وتُعرف بأسماءٍ متعدّدة في تقارير شركات الأمن — منها Octo Tempest وUNC3944 و0ktapus وMuddled Libra. وهي تجمّعٌ فضفاض من مراهقين وشبابٍ في الولايات المتحدة وبريطانيا، اشتهروا ببراعتهم في الهندسة الاجتماعية أكثر من براعتهم في الشِّفرات: انتحال الهويّات، وإغراق الضحايا برسائل التحقّق الثنائي (MFA bombing) حتى يوافقوا سهوًا، والتصيّد عبر الرسائل النصّية. تنسب إليها السلطات الأمريكية أكثر من 100 عملية اختراق، وما يزيد على 100 مليون دولار من مدفوعات الفدية.
لماذا تثير هذه القصة قلقًا حول الخصوصية؟
مهما بدا استعمال هذه القدرة محمودًا في توقيف متّهمٍ بابتزاز الملايين، يبقى الجانب الآخر مقلقًا: القدرة نفسها التي كشفت المجرم موجودةٌ في جهاز كل مستخدمٍ بريء.
جوهر القلق أنّ الـGDID مُعرّفٌ دائم ولا يُعطَّل بسهولة. كثيرٌ من إعدادات الخصوصية في ويندوز يمكن للمستخدم إيقافها، لكنّ هذا المُعرّف جزءٌ من بنية النظام العميقة المرتبطة بالتراخيص وإدارة الأجهزة، فليس أمام المستخدم زرٌّ واضح لإزالته. وهذا يعني أنّ اتّصالات الجهاز ببرمجيات مايكروسوفت قد تظلّ قابلةً للربط بجهازٍ بعينه عبر الزمن، بصرف النظر عن الـVPN أو تغيير الحسابات.
ما تكشفه القضية بوضوحٍ نادر هو حجم البيانات الموقّتة التي تحتفظ بها الشركات الكبرى وتستطيع ربطها. لم يُكشف المتّهم ببصمة إصبعٍ ولا كاميرا، بل بتقاطع سجلّاتٍ رقمية عند مايكروسوفت وSnapchat وApple وFacebook. كلٌّ منها احتفظ بأثرٍ صغيرٍ موقّت، والجمع بينها رسم خريطةً كاملة لتحرّكات شخصٍ عبر ثلاث قارّات على مدى شهور. القضية استُعملت هنا في سياق تحقيقٍ مشروعٍ بأمرٍ قضائيّ ضدّ متّهمٍ بجرائم جسيمة؛ لكنّ ما يزعج مراقبي الخصوصية هو أنّ البنية التحتية للتتبّع قائمةٌ ومتاحة، وأنّ ما يحدّد استعمالها هو الإجراءات والقوانين لا حدودٌ تقنيّة تمنعه.
ما الدرس الذي يبقى؟
إخفاء عنوان الإنترنت ليس إخفاءً للهويّة. كثيرٌ ممّن يعتمدون على VPN يظنّون أنها تجعلهم مجهولين تمامًا، بينما هي لا تعالج إلا طبقةً واحدة من الأثر الذي يتركونه. فالجهاز نفسه يترك بصماتٍ أخرى — من مُعرّفات نظام التشغيل إلى خصائصه الفريدة — تظلّ مكشوفةً بعد أن يُخفى العنوان. ومن يعتمد على أداةٍ واحدةٍ ليختبئ يترك في العادة عشرات الخيوط الأخرى ظاهرة، ويكفي المحقّق أن يمسك واحدًا منها ليجرّ البقية.
وفي المقابل، تبقى المفارقة قائمة لمستخدم ويندوز العاديّ: المُعرّف الذي أوقع مجرمًا هو نفسه المُعرّف الذي يجعل جهازك قابلًا للتمييز والربط دون أن تملك تعطيله. لن يطرق الـFBI بابك؛ لكنّ السؤال الذي تتركه القضية معلّقًا ليس عمّا فعلته مايكروسوفت بمتّهمٍ واحد، بل عمّا تستطيع أن تفعله بأيّ جهاز، ومن يقرّر متى وكيف يُستعمل ذلك.
