Na proteção de fontes, o primeiro passo é criar um modelo de ameaça.
Modelo de ameaça é uma forma de organizar "de quem, o que e até que ponto proteger".
O risco muda conforme a fonte seja empregada de uma empresa, servidora pública, ativista ou denunciante. As medidas necessárias também mudam conforme a outra parte seja uma pessoa praticando assédio, o departamento de investigação de uma empresa ou um órgão estatal.
Se você escolhe ferramentas sem modelo de ameaça, erra o ponto que deveria proteger.
De quem proteger
Primeiro, pense em quem tentaria identificar a fonte.
Cada tipo de adversário vê informações diferentes, usa meios diferentes e tem capacidades diferentes de investigação.
Adversário
O que pode fazer
Chefes ou colegas de trabalho
Inferir por registros de trabalho, informações internas do departamento e quem sabia
Empresa ou organização
Ver logs de acesso, histórico de visualização de documentos e conduzir investigação interna
Parte adversa em litígio
Buscar divulgação de registros, pressionar pessoas relacionadas e coletar provas
Órgão estatal
Usar registros de comunicação, apreensão de dispositivos e investigação ampla
Atacantes online
Reunir histórico de postagens, redes sociais, imagens e informações públicas
Não existe uma única medida que vença todos os adversários.
Definir primeiro ameaças realistas ajuda a evitar tanto medidas excessivas quanto medidas insuficientes.
O que proteger
Em seguida, separe os alvos de proteção.
Não basta proteger "o nome da fonte". O fato do contato, o fato de ter tocado no material, o fato de ter estado em certo departamento, o local da foto, o estilo de escrita e o horário também podem precisar de proteção.
O que proteger
Exemplos concretos
Identidade
Nome, rosto, afiliação, contato
Fato do contato
Quando e com quem houve contato
Origem do material
Autor, visualizadores, permissões de acesso
Horários de ação
Horário de envio, horário de captura, horário de login
Características na matéria
Circunstâncias internas, expressões únicas, posição
A fonte pode ser suspeitada mesmo sem o nome aparecer.
Se "só poucas pessoas podiam ver esse material", o tipo do material em si vira uma pista forte.
Por quais caminhos vaza
Há vários caminhos de vazamento.
Comunicação, arquivos, conteúdo da matéria, compartilhamento dentro da redação e reações após a publicação. Por qualquer um deles é possível se aproximar da fonte.
Caminho
Informação que vaza
Meio de contato
Email, DM, histórico de chamadas, IP, horário
Arquivo
Metadados, autor, histórico de edição, informações de captura
Nuvem
Proprietário, logs de visualização, histórico de compartilhamento, comentários
Texto da matéria
Departamento, linha do tempo, conteúdo do depoimento, circunstâncias internas
Depois da publicação
Quem reagiu, quem ficou em silêncio, investigação interna
Pense nas medidas por caminho de vazamento.
Mesmo usando ou SecureDrop, se o texto da matéria revelar a fonte, isso não adianta.
Um erro comum é achar que proteger apenas a rota de comunicação protege a fonte.
Meios de contato seguros são importantes. Mas o meio de contato é apenas uma parte da proteção de fontes.
Por exemplo, mesmo que uma fonte envie materiais por um formulário anônimo, se o material contiver nome do autor, departamento, histórico de edição ou marca d'água por destinatário, a origem será estreitada.
Se a matéria disser "segundo uma pessoa que participou desta reunião", dentro da organização os candidatos podem ser estreitados pela lista de participantes.
Lugar que parecia protegido
Risco que permanece
Formulário anônimo
Pode ser inferido pelos metadados ou pelo conteúdo dos materiais enviados
Mensagem criptografada
Notificações no dispositivo, horário de contato e logs do lado da outra pessoa permanecem
Email com pseudônimo
Pode ser inferido pelo estilo, anexos e ambiente de criação
Indicação anônima na matéria
Candidatos se estreitam pelo conteúdo do depoimento ou pela posição
Na proteção de fontes, é necessário olhar em conjunto para caminho de contato, materiais, texto e reações após a publicação.
Separar a intensidade do risco
Nem toda apuração exige medidas com a mesma intensidade.
Uma pauta local leve não tem o mesmo risco que crime organizado, corrupção, segurança nacional ou denúncia interna.
Risco
Situação
Forma de pensar necessária
Baixo
Apuração baseada em informações públicas
Verificação básica e consentimento
Médio
Depoimento com pedido de anonimato
Gestão do caminho de contato, citações e atributos
Alto
Documentos internos ou denúncia de irregularidades
Caminho dedicado, gestão de materiais, prevenção de inferência pelo conteúdo
Muito alto
Estado ou organização poderosa envolvida
Assessoria especializada, separação de ambiente, decisão cuidadosa de publicação
Em apurações de alto risco, também é importante não avançar por decisão isolada.
É necessário ter uma estrutura para consultar redação, especialistas, assessoria jurídica e responsáveis por segurança.
O que decidir antes da apuração
O modelo de ameaça deve ser feito antes da apuração, não depois.
Depois de usar email com nome real ou DM em rede social, esse rastro não pode ser apagado retroativamente. Se materiais forem colocados na nuvem habitual, logs e histórico de compartilhamento permanecerão.
O que decidir antes da apuração
Motivo
Meio de contato
O primeiro contato tende a virar o rastro mais forte
Como receber materiais
Gerenciar metadados e histórico de compartilhamento
Local de armazenamento
Limitar o alcance de acesso dentro da redação
Tratamento de citações
Evitar que a testemunha seja inferida
Timing de publicação
Evitar correlação com investigação interna
Antes de dizer à fonte "mande por enquanto", decida como receber.
O que pensar ao transformar em matéria
O trabalho de proteger a fonte não termina quando a informação é recebida.
Na etapa de escrita, decida até que ponto manter detalhes que apontam para a fonte. Separe informações necessárias ao leitor de informações que colocam a fonte em risco.
Por exemplo, para explicar uma denúncia interna, pode ser necessário dizer "instituição de saúde", "governo local" ou "empresa de logística". Mas talvez não seja necessário mostrar o nome exato da filial, a data da reunião, o cargo, o número de pessoas ou uma expressão usada apenas internamente.
Informação na matéria
O que verificar
Cargo ou departamento
Se os candidatos não ficam reduzidos a poucas pessoas
Data ou horário
Se não será cruzado com logs de acesso ou registros de reunião
Aparência do material
Se não aparecem marca d'água ou versão por destinatário
Citação
Se não permanece uma expressão própria da pessoa
Timing de publicação
Se não coincide demais com investigação ou evento interno
Ao desfocar informações para proteger a fonte, a força persuasiva da matéria pode cair. Nesses casos, trate o que manter e o que remover como uma decisão editorial.
Escrever "pediu anonimato" não basta. É preciso preparar a matéria de modo que leitores e pessoas relacionadas não consigam inferir quem é a pessoa anônima.
Explicar também à fonte
A proteção de fontes não se completa apenas com jornalistas ou redações.
Se a própria fonte usar um método de contato perigoso, reagir nas redes sociais após a publicação ou falar com pessoas ao redor, a proteção enfraquece. Por isso, em apurações de alto risco, explique também à fonte os cuidados mínimos.
O que explicar
Motivo
Evitar dispositivo habitual e rede do trabalho
Fica em logs internos e gestão de dispositivos
Não enviar materiais como estão
Metadados e marcas d'água permanecem
Não reagir demais após a publicação
Pode ser suspeitada como pessoa relacionada
Não comentar com pessoas ao redor
A informação pode se espalhar por quem foi consultado
Não mudar o caminho de contato
Sair do caminho seguro aumenta rastros
Para proteger a fonte, é necessário compartilhar quais ações da própria fonte seriam perigosas.
Resumo
Para proteger fontes, é necessário um modelo de ameaça.
Organize de quem proteger, o que proteger, por quais caminhos vaza e qual é o nível de risco.
A fonte pode ser suspeitada mesmo sem o nome aparecer.
Horário de contato, tipo de material, detalhes na matéria e timing de publicação podem estreitar candidatos.
Antes de escolher ferramentas, definir adversários e informações a proteger é o ponto de partida da proteção de fontes.
Ferramentas relacionadas
Whistleblower submission
SecureDrop
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.