Microsoft Windows Device ID के जरिए उपयोगकर्ताओं को ट्रैक कर सकता है

Microsoft Tracking और GDID का दायरा

  • टिप्पणीकार अनुमान लगाते हैं कि Microsoft एक Windows “GDID” को IP, timestamps, और कम-से-कम domains, तथा संभवतः देखे गए full URLs के साथ correlate कर सकता है।
  • thread में linked criminal complaint को इस बात के प्रमाण के रूप में उद्धृत किया गया है कि Microsoft URLs, IPs, और GDID को “telemetry” के रूप में log करता है।
  • कुछ प्रतिभागी इस बात पर जोर देते हैं कि इससे Windows उपयोगकर्ताओं की privacy प्रभावी रूप से नष्ट हो जाती है, क्योंकि गतिविधि को retroactively किसी विशिष्ट device से जोड़ा जा सकता है।

डेटा कैसे इकट्ठा होता है (अस्पष्ट mechanism)

  • कई theories:
    • Edge + Microsoft Defender SmartScreen द्वारा phishing/malware checks के लिए visited URLs/domains भेजना, जो GDID और संभवतः Microsoft accounts से जुड़ा हो।
    • Windows telemetry द्वारा page titles, navigation transitions, और clicked links को diagnostic events में bundle करना (security talk की slides का संदर्भ दिया गया है)।
    • licensing-related logs या अन्य Windows services (Update, Defender, MAPS)।
  • अन्य लोग तर्क देते हैं कि यह संभावना कम है कि Microsoft OS level पर सभी web requests log करता हो, या कि ऐसा अब तक अनदेखा रह जाता।
  • browsing action से GDID correlation तक का exact technical path बार-बार article में अस्पष्ट और अनुपस्थित बताया गया है।

Browser और App की भूमिका

  • कई टिप्पणीकार मानते हैं कि इसमें मुख्य रूप से default privacy/telemetry settings के साथ Edge शामिल है।
  • कुछ लोग नोट करते हैं कि Chrome और अन्य browsers में भी vendors को URLs भेजने के विकल्प होते हैं (जैसे “safe browsing” के लिए), लेकिन इस thread में ऐसा कोई ठोस प्रमाण नहीं है कि non-Microsoft browsers GDID-based tracking में feed करते हैं।

अन्य Platforms और Identifiers से तुलना

  • कई लोग नोट करते हैं कि persistent device IDs Linux (systemd machine-id, D-Bus UUIDs), BSDs (hw.uuid, hostid`), Android, आदि में मौजूद हैं।
  • यहाँ जो मुख्य अंतर उठाया गया है: local machine IDs बनाम vendor-operated infrastructure द्वारा उन IDs को network activity से correlate करना।
  • बताए गए mitigations: machine-id को rotating या randomize करना, sandboxing (जैसे bubblewrap, firejail), कुछ browsers से बचना।

कानूनी, privacy, और policy पर प्रतिक्रियाएँ

  • GDPR पर बहस: कुछ कहते हैं कि random ID personal data नहीं है; अन्य जवाब देते हैं कि यदि वह किसी user को अलग पहचान सकता है या किसी account से जोड़ा जा सकता है, तो वह personal data है।
  • कई लोगों को यह इस बात की पुष्टि लगता है कि big tech privacy का वास्तविक सम्मान नहीं करता और इस तरह की telemetry पर law enforcement के साथ सहयोग आम बात है।
  • Windows से दूर जाने की मजबूत वकालत (Linux, BSD, Apple, privacy-focused tools की ओर) और VPN marketing के प्रति skepticism, क्योंकि non-IP tracking capabilities मौजूद हैं।