Windows ví, kde jste a co děláte. FBI díky skrytému kódu systému dopadla 19letého hackera, který nakradl miliardy
Devatenáctiletý Brit Peter Stokes čelí v Chicagu obvinění z hackerských útoků skupiny Scattered Spider, které americká justice oceňuje na více než 2,1 miliardy korun.
Obsah článku
Dne 10. dubna 2026 se Stokes na helsinském letišti chystal nastoupit na let do Japonska. Místo palubního lístku dostal pouta. Interpol na něj vydal červené oznámení na základě amerického zatykače z prosince 2025 a 30. června stanul poprvé před federálním soudem v Chicagu. Klíčovou stopou, která ho podle soudního spisu spojila s kybernetickými útoky na desítky firem, nebyl otisk prstu ani odposlechnutý hovor. Byl to identifikátor, o kterém většina uživatelů Windows netuší, že vůbec existuje.
Co je ten „skrytý kód“ ve Windows
Hollywoodská zadní vrátka to nejsou. Technicky jde o takzvaný Microsoft Global Device ID, zkráceně GDID, tedy perzistentní identifikátor, který Windows přiřadí každé konkrétní instalaci systému. Nepojmenovává uživatele, ale stroj. Přesněji: jednu instalaci na jednom stroji. Přežije aktualizace, přežije restart, přežije měsíce provozu. Zmizí teprve tehdy, když uživatel systém kompletně přeinstaluje.
Běžný člověk GDID nikde v nastavení neuvidí jako přepínač, který lze vypnout. Není to funkce, kterou si zapínáte, je to součást toho, jak Windows komunikuje s Microsoftem. A právě tady začíná problém pro kohokoli, kdo se snaží zůstat neviditelný.
Jak GDID prorazilo VPN a tunelovací nástroje
Peter Stokes nebyl amatér. Podle soudního spisu používal VPN, proxy servery, tunelovací nástroj ngrok, službu Teleport.sh a pracoval střídavě z Estonska, New Yorku i Thajska. Přesto ho analytici Microsoftu dokázali vystopovat.
Mechanismus byl v principu prostý, v praxi devastující:
- Zařízení s konkrétním GDID v červnu 2024 otevřelo stránku
dashboard.ngrok.com/signup, registrační portál nástroje, který Stokes údajně používal k udržení přístupu do napadených sítí. - Totéž zařízení komunikovalo přes několik IP adres poskytovatele Tzulo, včetně jedné konkrétní adresy končící na
.168. - Tyto IP adresy se překrývaly s aktivitou účtů, které vyšetřovatelé nezávisle přiřadili Stokesovi, včetně jeho online persony „spencer“.
Poloha nevycházela z GPS ani ze „zapnuté lokalizace“. Šlo o geolokaci IP adres, kterou FBI křížově potvrzovala cestovními záznamy a obsahem Stokesových sociálních sítí. Microsoft v říjnu 2024 předal FBI takzvaný criminal referral, tedy proaktivní upozornění, že identifikoval škodlivou aktivitu napojenou na konkrétní zařízení. Pak už se rozjel klasický důkazní řetězec: soudní příkazy na účty v prosinci 2025, zatykač, Interpol, letiště v Helsinkách.
Pointa je tvrdá: ani disciplinované přeskakování mezi zeměmi a vrstvení anonymizačních nástrojů nestačí, pokud proti nim stojí identifikátor, který přežívá měsíce a který Microsoft umí korelovat s logy dalších poskytovatelů.
Miliardy v titulku: komu patří a odkud se vzaly
Slovo „miliardy“ si zaslouží přesný kontext. Americké ministerstvo spravedlnosti připisuje skupině Scattered Spider přes sto průniků do firemních sítí a více než 100 milionů dolarů vyplacených na výkupném. Při kurzu ČNB 21,287 Kč za dolar k 30. červnu 2026 jde o zhruba 2,13 miliardy korun. To je částka za celou skupinu, ne za jednoho devatenáctiletého člověka.
Stokesovi osobně spis konkrétně přičítá útok na firmu označenou jako Company F, anonymizovaný multimiliardový luxusní maloobchodní řetězec. Průběh útoku vypadal takto:
- Phishingové telefonáty na IT helpdesk, při nichž se útočníci vydávali za zaměstnance.
- Vynucený reset hesel a vícefaktorového ověření; během dvou až tří hodin kompromitovali tři účty, z toho dva administrátorské.
- Nasazení nástrojů ngrok a Teleport.sh pro trvalý přístup a exfiltraci dat přes Amazon S3.
- Odcizení nejméně 77 GB dat. V žádosti o výkupné tvrdili, že mají 100 GB včetně platebních údajů zákazníků.
Požadované výkupné činilo 8 milionů dolarů. Firma nezaplatila. Škodu z provozního výpadku, forenzního šetření a nápravných opatření ale vyčíslila minimálně na 2 miliony dolarů.
Co to znamená pro každého uživatele Windows
Stejná technická architektura, která pomohla dopadnout Stokese, běží na každém počítači s moderními Windows. Microsoft ve výchozím nastavení odesílá takzvaná Required diagnostic data, tedy základní diagnostiku, kterou běžný uživatel spotřebitelské edice nemůže zcela vypnout. Volitelná Optional diagnostic data rozšiřují sběr o historii prohlížení, identifikátory zařízení a údaje o využívání produktů. Režim úplného vypnutí diagnostiky je podle dokumentace Microsoftu dostupný pouze pro edice Server, Enterprise a Education.
K tomu přistupují takzvaná Required service data, která tečou nezávisle na diagnostickém přepínači, pokud uživatel využívá cloudové funkce Windows. A samotný GDID? Veřejně popsanou možnost ho vypnout se nám nepodařilo v dokumentaci Microsoftu dohledat. Jedinou cestou je reinstalace systému, která vygeneruje nový identifikátor.
Microsoft veřejně deklaruje, že žádné vládě neposkytuje přímý ani neomezený přístup k uživatelským datům a že informace vydává výhradně na základě právně platného požadavku. Současně ale přiznává, že u národně-bezpečnostních žádostí (typicky amerických NSL nebo příkazů FISA) může být uživatel o vydání dat neinformován. Pro evropské uživatele je podstatné, že unijní regulace e-evidence, která má sjednotit pravidla pro přeshraniční vydávání elektronických důkazů, začne platit až 18. srpna 2026.
Co hrozí Stokesovi a co bude dál
Obvinění zahrnují spiknutí podle § 371, několik bodů neoprávněného přístupu k počítačům podle § 1030, spiknutí k podvodu přes elektronické komunikace podle § 1349 a samotný podvod podle § 1343. Teoretické horní hranice sazeb sahají od pěti let u obecného spiknutí přes deset let u poškození počítačových systémů až po dvacet let u podvodu. Jde o zákonné maximum, ne o predikci reálného trestu, ale i dolní pásmo těchto sazeb znamená pro devatenáctiletého člověka zásadní zlom.
Věk 19 let přitom v prostředí Scattered Spider není výjimkou. FBI i analytici firmy Mandiant popisují jádro skupiny jako mladé rodilé anglické mluvčí, často teenagery nebo lidi na začátku dvacítek, kteří excelují v sociálním inženýrství, ne v psaní exploitů. Další procesní harmonogram po prvním stání 30. června 2026 se z otevřených zdrojů zatím nepodařilo ověřit.
Stokesův případ ukazuje jednu věc s nepříjemnou jasností: Windows si pamatuje víc, než si jeho uživatelé uvědomují, a v rukou vyšetřovatelů se tato paměť mění v důkazní řetězec, který ani měsíce práce s VPN a proxy servery nedokázaly přetrhnout.