通过 Google Drive、Dropbox、SNS DM 发送文件的风险
日常生活中,人们很少意识到自己是用什么方法发送文件。
Google Drive、Dropbox、iCloud、OneDrive、SNS 的 DM、聊天应用。它们都很方便。可以马上共享照片、PDF、视频、资料。
但是,在考虑匿名性和隐私的场景中,越方便的发送方式越需要注意。
不仅是文件本身,发送者账号、共享历史、通知、查看日志、文件名、元数据、对方的登录状态也都相关。
文件发送中会留下什么
发送文件时,对方收到的不只是内容。
在云端服务和 SNS DM 中,会留下发送者姓名、个人资料图片、账号 ID、发送时间、已读、共享历史等。
| 残留信息 | 会在哪里成为问题 |
|---|---|
| 发送者账号 | 对方能看到实名或日常使用的账号 |
| 发送时间 | 成为与行动时间和其他日志比对的材料 |
| 文件名 | 包含本名、日期、案件名、地点 |
| 元数据 | 残留创建者、拍摄地点、拍摄日期时间 |
| 已读和查看历史 | 记录谁在什么时候打开 |
即使以为自己匿名发送,只要是从实名账号共享,在那一刻就已经不是匿名。
云端共享的注意点
在云端共享中,所有者信息和共享设置很重要。
即使只是想发送一个链接,对方打开文件的画面中也可能显示所有者姓名或电子邮件地址。共享文件夹名、评论、编辑历史、共同编辑者也可能可见。
| 确认项目 | 注意点 |
|---|---|
| 所有者姓名 | 是否显示实名或工作单位账号 |
| 共享范围 | 是否设置成知道链接的所有人都能看 |
| 编辑权限 | 对方是否处于可以修改内容的状态 |
| 文件夹结构 | 是否能看到上级文件夹名或其他文件 |
| 通知 | 是否会向对方或自己发送实名通知 |
云端共享链接的详细风险,会在另一篇文章中说明。
这里请理解,一般云端服务不是为匿名共享而设计的。
在云端共享中,想象对方能看到的画面很重要。
即使自己的画面上只看到文件,对方一侧也可能显示所有者姓名、个人资料照片、电子邮件地址、文件夹名、评论历史。 打开共享链接的对方账号信息,也可能残留在自己这边的历史中。
| 对方可能看到的内容 | 注意点 |
|---|---|
| 所有者姓名 | 有时会出现实名或工作单位名 |
| 电子邮件地址 | 连接到账号识别 |
| 文件夹名 | 有时能看到案件名或个人名 |
| 评论历史 | 能看到编辑者和相关人员 |
| 预览信息 | 不打开文件也能看到一部分内容 |
SNS DM 的注意点
SNS DM 虽然容易发送,但会强烈保留账号关联。
发送 DM 时,会从该 SNS 账号与对方接触。发送者姓名、个人资料、过去发帖、关注关系、发送时间、已读等都会相关。
| DM 中残留的内容 | 风险 |
|---|---|
| 发送账号 | 与平时发帖和交友关系连接 |
| 对话历史 | 交流语境残留 |
| 已读、发送时间 | 行动时间变得可见 |
| 附件文件 | 元数据和文件名残留 |
| 截图 | 对方可以保存并发到外部 |
SNS DM 是能看到与对方关系的地方。
不适合只想匿名传递文件的场景。
文件内容和元数据
文件发送中最容易被忽视的是元数据。
图片可能残留 GPS 和拍摄日期时间。PDF 和 Office 文件可能残留创建者姓名、组织名、修改历史、评论。视频和音频包含拍摄环境、背景音、设备信息。
| 文件种类 | 需要注意的信息 |
|---|---|
| 照片 | GPS、拍摄日期时间、相机机型、背景 |
| 创建者、编辑软件、嵌入信息 | |
| Word 和 Excel | 创建者、组织名、修改历史、评论 |
| 视频 | 声音、背景音、地点、拍摄日期时间 |
| 压缩文件 | 内部文件名、文件夹结构 |
发送文件前,不只要确认内容,也要确认文件名和元数据。
元数据确认的具体方法,会在另一篇文章中说明。
一般个人应避免的发送
一般个人的匿名性中,有些场景最好避免以下发送方式。
| 想避免的发送 | 理由 |
|---|---|
| 从实名 Google 账号向匿名对象共享 | 所有者姓名和通知中出现实名 |
| 从工作单位云端发送私人资料 | 组织名和审计日志相关 |
| 用 SNS DM 发送匿名资料 | 账号和对话历史残留 |
| 直接发送原始图片 | GPS 和拍摄日期时间残留 |
| 发送带编辑历史的 Office 文件 | 创建者和评论可见 |
文件发送中,“从哪个账号发送”和“给对方看什么”同样重要。
也考虑对方侧的处理
文件发送后,就依赖对方侧管理。
对方下载。 保存到别的云端。 截图。 转发给第三方。 让 AI 摘要或自动分类等外部服务读取。
发送后的处理,自己无法完全控制。
| 对方侧行为 | 残留风险 |
|---|---|
| 下载 | 残留在对方设备和备份中 |
| 转发 | 扩散到预期外第三方 |
| 截图 | 删除原文件后内容仍残留 |
| 云端保存 | 关系到其他服务的日志和共享设置 |
越是需要匿名性的文件,越应该在发送前减少内容,并与对方确认处理方式。
发送前也考虑其他方法
有时并不需要发送文件本身。
如果正文足够,就不要做成文件。 不用截图,而是只用文字说明必要部分。 不发送原件,而是发送去除个人信息后的摘要。 如果是高风险资料,就使用接收方指定的安全窗口。
| 替代方法 | 适合场景 |
|---|---|
| 用正文说明 | 不需要证据文件的咨询 |
| 只截取一部分 | 整体包含大量个人信息时 |
| 发送摘要 | 初次联系只需传达概要时 |
| 使用专用窗口 | 取材、内部举报、法律咨询等高风险场景 |
| 不发送 | 无法信任对方或路径时 |
文件共享很方便,但并不意味着一开始就必须发送文件。 减少发送的信息,是匿名性和隐私的基本。
总结
Google Drive、Dropbox、SNS DM 很方便,但不是以匿名性为前提的发送方法。
发送者账号、所有者姓名、共享设置、通知、查看日志、文件名、元数据、对话历史都会残留。
一般个人尤其要注意的是,不要从实名账号发送匿名用途的文件。
发送文件前,要确认账号、共享范围、文件名、元数据、对方能看到的画面。
越方便的共享,越会留下看不见的痕迹。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/
OnionShare
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://onionshare.org/