文档文件中残留的作者和组织信息
文档文件中会残留正文以外的信息。
Word、Excel、PowerPoint、PDF、内部模板、导出的资料。这些文件中可能包含作者姓名、组织名称、部门名称、设备名称、模板名称、修订历史、评论,以及内部路径的一部分。
在内部举报中,这些信息会连接到举报者或所属组织。
发送文档前,必须确认的不只是外观,还包括文件内部的信息。
什么是作者信息
文档编辑软件有时会在文件中记录作者和公司名称。
例如用户名、组织名称、最后保存者、编辑者、模板、创建时间、更新时间等。
| 信息 | 风险 |
|---|---|
| 作者姓名 | 暴露真实姓名或内部账号 |
| 公司名、组织名 | 看出所属组织 |
| 最后保存者 | 看出最后是谁接触过文件 |
| 创建时间、更新时间 | 与行动时间或工作记录对照 |
| 模板名称 | 看出部门或内部文档类型 |
即使从正文中删掉姓名,文件属性中仍可能残留姓名。
作者信息有时不会显示在打开文档后的画面上。 因此,即使阅读正文时看起来没有问题,文件的详细信息或属性中也可能残留真实姓名、公司名称、设备名称。 这些信息是文档编辑软件为了协作和管理而自动保存的。
在内部举报或匿名提交中,这种自动保存会成为风险。 仅仅“从正文中删掉姓名”,并不等于已经检查了整个文档。
组织信息会残留在哪里
组织信息并不只会留在属性中。
它也可能留在文档的页眉、页脚、评论、修订历史、内部链接、嵌入图片、内部模板,以及转换成 PDF 时的信息中。
| 残留位置 | 例子 |
|---|---|
| 文件属性 | 作者、公司名、最后保存者 |
| 评论 | 审阅负责人姓名、对话历史 |
| 修订历史 | 谁编辑了哪里 |
| 页眉、页脚 | 部门名、文档编号、保密级别 |
| 内部链接 | 内部服务器名、文件夹名 |
| 嵌入图片 | 原图片的元数据或文件名 |
内部资料比起文档外观,更容易在内部结构中残留信息。
内部模板尤其需要注意。 页眉、页脚、文档编号、审批栏、保密级别、部门名称、内部链接、字体和 logo 都可能显示组织或部门。 即使模糊处理了正文,也可能通过模板形态看出来源。
嵌入的图片和图表中也会残留信息。 粘贴图片的文件名、原始数据、链接目标、创建软件信息都可能保留下来。 检查文档文件时,要把正文、附带信息和嵌入元素分开确认。
为什么在内部举报中危险
在内部举报中,作者信息不一定会直接指向举报者。
即便如此,组织名称、部门名称、版本号、模板、评论,也会显示资料来源以及谁有权限访问。
| 残留信息 | 可推测的内容 |
|---|---|
| 部门名称 | 属于哪个部门的资料 |
| 版本号 | 是什么时候的资料、分发给了谁 |
| 评论者 | 相关人员或审批路径 |
| 内部路径 | 保存位置或项目名 |
| 文档编号 | 管理部门或资料分类 |
如果接收方不在公开前确认,受到牵连的就不只是举报者,还可能包括相关人员。
在内部举报中,对方看的不只是“谁制作了文件”。 谁能看到这份资料。 这是哪个部门的模板。 是哪个时期的版本。 谁留下了评论。 保存在哪个文件夹中。 对方会从这些信息中缩小有访问权限的人群。
文档文件中的信息不仅影响举报者本人,也会影响资料制作者、审阅负责人、分发对象和审批者。 公开前,要确认是否有会回溯到整个相关人员范围的信息。
确认时的思路
文档文件需要从多个角度确认。
查看属性、评论、修订历史、页眉和页脚、嵌入文件,以及 PDF 转换后的信息。
| 确认位置 | 查看内容 |
|---|---|
| 属性 | 作者、公司名、创建时间 |
| 修订历史 | 编辑者、修改内容、评论 |
| 文档正文 | 姓名、部门、文档编号、专有表述 |
| 嵌入元素 | 图片、表格、链接、附件对象 |
| 转换后的 PDF | 是否残留原文档的信息 |
改变文档格式,并不一定会让信息消失。
即使把 Word 转成 PDF,也可能残留作者或来自原文件的信息。
转换有时会减少信息,但不一定会清除信息。 把 Word 转成 PDF、把 Excel 转成图片、把 PowerPoint 转成 PDF,即使经过这些转换,也可能残留作者信息、嵌入字体、评论、隐藏工作表、文件名。 转换后的文件也要作为另一个文件重新确认。
接收方的责任
文档文件的风险不只是发送方的问题。 新闻机构、支持团体、咨询窗口、共同编辑者等接收方也需要确认。 如果把收到的文件原样共享或公开,就等于扩散发送者和相关人员的信息。
| 接收方要查看的内容 | 理由 |
|---|---|
| 属性 | 是否残留作者或组织名称 |
| 评论、修订历史 | 是否能看到相关人员姓名或过去文本 |
| 正文和页眉 | 是否有文档编号、部门、分发范围 |
| 嵌入元素 | 图片和表格的原始信息是否残留 |
| 公开版本 | 转换后是否仍残留信息 |
要安全处理文档,需要在发送前、接收后、公开前三次确认。 任何阶段都不能只凭外观判断。
注意以为已经删除的信息
在文档中,从画面上删除的信息可能会留在其他位置。 以为删除了评论,却残留在修订历史中。 从正文中删掉姓名,却残留在属性中。 重新粘贴了图片,却残留原文件名。 转换成 PDF 后,仍残留作者信息。
因此,修改后的文档要再确认一次。 要区分编辑前文件和编辑后文件,不要只检查所谓公开版本,而要以实际要分发的最终文件为对象。
| 以为已经删除的信息 | 确认位置 |
|---|---|
| 作者姓名 | 文件属性、PDF 信息 |
| 评论 | 修订历史、审阅历史 |
| 部门名称 | 页眉、页脚、模板 |
| 原文件名 | 嵌入图片、链接、压缩包内文件 |
| 内部路径 | 内部链接、引用目标、对象信息 |
总结
文档文件中可能残留作者姓名、组织名称、最后保存者、修订历史、评论、模板、内部链接等信息。
在内部举报中,这些会成为指向举报者、部门、资料来源和分发范围的线索。
即使从正文中删掉姓名,文件内部仍可能残留信息。
发送文档前、共享收到的资料前、公开前,要确认属性、修订历史、评论、页眉和页脚、嵌入元素。
文档文件不能只凭外观判断。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/