云端历史、共享历史和编辑历史的风险
在内部举报中使用云端时,除了文件内容,还会留下许多历史记录。
谁创建了文件。谁打开过。共享给了谁。谁评论过。什么时候编辑过。用哪个账号访问过。
Google Drive、Microsoft 365、Dropbox、内部云端、文档管理系统都很方便,但在内部举报中会成为强线索。
云端上的资料不能只看作文件,而要看作历史记录的集合。
云端中残留的历史
云端服务为了协同工作,会保留历史记录。
这在日常业务中很方便。但在内部举报中,它会成为显示谁接触过资料的记录。
| 历史 | 能看出什么 |
|---|---|
| 创建者 | 最初是谁创建了文件 |
| 最后编辑者 | 最后是谁修改了文件 |
| 查看历史 | 谁打开过文件 |
| 共享历史 | 把链接或权限交给了谁 |
| 评论历史 | 谁对哪个部分作出回应 |
即使下载文件后再发送到外部,云端一侧仍可能残留“之前是谁接触过”的记录。
云端历史并不只是用户能看到的历史。 除了画面上显示的编辑历史和评论,还可能残留面向管理员的审计日志、访问日志、设备信息、IP 地址、共享设置变更历史。 在组织云端中,管理员有时可以查看普通用户看不到的日志。
在内部举报中,这一点很重要。 即使从文件正文中删掉姓名,只要云端一侧残留“谁打开过”“谁复制过”“谁对外共享过”,候选人就会被缩小。
共享链接的危险
共享链接可以轻松传递资料。
但是,链接共享会涉及所有者、权限、查看者、通知、访问时间。
| 共享要素 | 风险 |
|---|---|
| 所有者姓名 | 能看到真实姓名或组织账号 |
| 链接权限 | 不清楚谁处于可访问状态 |
| 查看通知 | 访问会传达给对方或所有者 |
| 共享对象列表 | 残留传给了谁的历史 |
| 下载历史 | 残留取得资料的时间 |
在内部举报中,从平常的业务云端向外部发送链接是危险的。
这可能会残留在组织一侧的审计日志中。
共享链接表面上只是一个 URL。 但在背后,所有者、权限、共享时间、访问对象、下载、通知都会相关。 把链接发送到外部时,有些设置会通知所有者或管理员。
更改共享设置这一操作本身也可能很显眼。 如果平时只在内部使用的资料突然改成“知道链接的所有人”,就可能成为审计对象。 内部举报中使用云端共享时,要先于文件正文考虑共享路径的风险。
编辑历史有时比正文更危险
编辑历史中可能残留已经从正文中删除的信息。
评论、建议、修订历史、过去版本、共同编辑者、删除过的文字。这些会显示资料的制作过程和相关人员。
| 编辑历史 | 风险 |
|---|---|
| 过去版本 | 残留已删除的姓名或内部信息 |
| 评论 | 看出审阅负责人或部门 |
| 建议模式 | 看出谁修改了哪里 |
| 共同编辑者 | 看出相关人员范围 |
| 修改时间 | 与工作记录或会议对照 |
只看完成版,不能判断安全。
在会保留历史的服务中,要把当前显示内容和过去记录分开考虑。
在协同编辑文档中,删除过的文字可能会留在过去版本里。 评论中会残留负责人姓名、部门名称、审阅经过、内部判断。 建议模式中可以看到谁修改了哪种表述。
为了举报整理文档时,不能只看当前显示的完成版就放心。 需要确认过去版本、评论、建议、共同编辑者、修改时间、文件所有者。 必要时,可以考虑制作不容易包含历史记录的副本。
内部举报中特别需要注意的场景
在内部举报中,云端历史可能显示举报者的行动。
打开资料、复制资料、更改共享设置、下载资料、转发到另一个账号。这些操作会成为组织一侧的审计对象。
| 操作 | 残留线索 |
|---|---|
| 打开资料 | 查看时间和账号 |
| 创建副本 | 副本创建者和创建时间 |
| 更改共享设置 | 执行操作的账号 |
| 下载 | 取得时间和设备信息 |
| 删除评论 | 修订历史或审计日志 |
被看到的不只是“把文件拿到外部的瞬间”,还包括接触资料前后的行为。
在组织内部云端中,访问权限本身也是线索。 如果原本能查看该资料的人很少,仅仅查看过就会缩小候选范围。 下载、打印、复制、共享设置变更,比普通查看更显眼。 处理内部资料时,不仅要考虑做了什么,还要考虑该操作作为平常业务行为是否自然。
不使用云端的判断
高风险内部举报中,有时需要判断不使用云端共享。 平常的业务云端越方便,越会留下历史。 因为其中存在协同编辑、查看历史、通知、管理日志、设备日志。
不过,不使用云端也不等于安全。 USB、打印、照片、邮件、消息应用也有其他历史记录。 重要的是比较哪条路径会留下哪些日志。
| 方法 | 可能残留的线索 |
|---|---|
| 云端共享 | 所有者、查看历史、共享历史、审计日志 |
| 邮件附件 | 发送历史、收件人、附件文件名 |
| USB 复制 | 设备日志、文件访问历史 |
| 打印 | 打印日志、打印机信息、水印 |
| 拍照 | 图片元数据、背景、云端同步 |
接触资料前先思考
在内部举报中,风险不是从把资料拿到外部的瞬间才开始,而是从接触资料前就开始了。 用哪个账号打开。 谁有查看权限。 打开时间是否不自然。 下载或打印是否属于会被审计的操作。
如果不先确认就行动,事后很难删除历史。 云端既是方便的工作场所,也是记录操作的场所。 访问资料前,要思考哪些操作会在哪里留下记录。 特别是与平常不同的时间或设备访问,可能会很显眼。 审计日志有时不会显示在用户画面中,因此不能因为看不见就判断没有残留。
总结
云端历史、共享历史、编辑历史对内部举报者来说是强风险。
创建者、查看者、共享对象、评论、过去版本、下载时间,会显示资料流向和相关人员。
即使从正文中删掉姓名,云端上的历史中仍可能残留信息。
在内部举报中,要把云端看作“拥有操作历史的系统”,而不是单纯的“文件存放处”。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/