采访联系中留下的通信痕迹
采访联系会留下痕迹。
发送邮件。通过 SNS DM 联系。打电话。发送云端链接。开视频会议。这些都是普通的联系方式,但在信源保护中会成为重要记录。
问题不只是对话内容。
谁和谁、在什么时候、通过哪个服务接触。仅凭这个事实,也能成为缩小信源候选范围的材料。
不同联系方式的痕迹
采访联系中,不同方式会留下不同信息。
| 联系方式 | 留下的痕迹 |
|---|---|
| 邮件 | 收发件人、主题、时间、附件、邮件头 |
| SNS DM | 账号、对话历史、已读、截图 |
| 电话 | 电话号码、通话时间、通话记录 |
| 聊天应用 | 账号、设备通知、备份、参与者 |
| 云端共享 | 所有者、查看日志、编辑历史、通知 |
| 视频会议 | 显示名、参与者、录制、背景、参加历史 |
即使是加密应用,接触事实和设备上的通知也会作为另一个问题留下。
加密对于保护对话内容很重要。 但是,在信源保护中,“谁和谁接触过”同样重要。 邮件主题、收发时间、电话号码、云端链接的查看历史、视频会议的参加历史,都是不同于对话正文的痕迹。
例如,即使加密聊天的内容没有被读取,信源设备上也可能出现通知。 只是让对方查看云端链接内容,也可能留下所有者姓名或查看时间。 采访联系中,要把内容和接触事实分开思考。
初次接触尤其重要
在信源保护中,初次接触有时最危险。
信源用平时的邮件联系。记者用实名 SNS 回复。让对方把资料上传到普通云端。这些初始行为,事后无法当作没有发生。
| 初始行为 | 残留问题 |
|---|---|
| 用实名邮件联系 | 发送者、邮件地址、时间会留下 |
| 通过 SNS DM 接触 | 账号关系和对话历史会留下 |
| 从职场设备发送 | 会留在组织内部日志或设备管理中 |
| 把资料放到云端 | 所有者姓名、共享历史、查看日志会留下 |
| 用电话咨询 | 通话记录和号码会留下 |
在高风险采访中,“先普通联系,再转到安全方式”是危险的。
应从一开始就准备符合威胁模型的入口。 这里说的安全入口,并不是能消除所有痕迹的入口,而是在决定信任谁、信任什么之后,用来减少记录的入口。
初次接触无法事后重来。 从平时邮件发出的咨询、实名 SNS 的 DM、从职场设备的访问、上传到普通云端,都会作为最初记录留下。 之后即使转到安全聊天,最初谁接触过这条线仍然存在。
记者一侧需要准备让读者或信源在最初不迷路的入口。 如果只有普通咨询表单,信源就会发到那里。 如果可能接收高风险信息,就应明确安全联系方式、注意事项,以及初次不应发送的信息。
分离联系方式
记者一侧也需要分开平时联系方式和高风险采访联系。
如果直接使用实名 SNS、个人邮件、私人手机、平时的云端账号,信源接触会与其他生活和工作混在一起。
| 分离对象 | 理由 |
|---|---|
| 邮件地址 | 不把信源联系与私用或普通业务混在一起 |
| 设备 | 分开通知、历史记录和文件 |
| 云端 | 避免实名账号和编辑历史 |
| 聊天 | 分开采访用和个人用对话 |
| 保存位置 | 限制资料访问范围 |
分离不只是保护记者。
这是保护信源所需的最低限度整理。
记者的实名活动和信源保护,有时无法完全切开。 记者常以实名工作,联系方式也会公开。 但是,如果把高风险信源接触也混进平时环境,信源痕迹会扩散。
使用专用邮件、专用设备、专用浏览器、专用保存位置、专用通知设置,可以缩小痕迹范围。 尤其需要注意云端同步和通知。 如果信源姓名或资料名出现在记者平时使用的设备或共享画面上,仅此就会带来风险。
联系内容中也有线索
除了通信方式,对话内容也需要注意。
“昨天会议的事”“只有你们部门知道的资料”“请在这个时间发送”等对话,事后被看到时会缩小信源范围。
| 对话内容 | 风险 |
|---|---|
| 部门或职位 | 会看出信源所属 |
| 会议名或日期时间 | 参与者会被缩小 |
| 资料名 | 拥有访问权限的人会被缩小 |
| 发送指示 | 行动时间会与日志对照 |
| 独特表达 | 会显出证言者本人的特征 |
安全联系中,也要避免在对话中留下超过必要的具体内部信息。
让信源说明得越详细,事实关系越容易看清。 另一方面,如果对话日志中留下部门、日期时间、会议名、资料名、职位、独特表达,就会成为回到信源身上的线索。 初期联系应控制在最低必要范围,详细资料的处理应在决定安全方式后再推进。
对信源说“现在发给我”也需要谨慎。 发送时间可能会与组织内部日志对照。 安全采访中,问题不只是发送什么,也包括什么时候、从哪里、用哪台设备发送。
采访后仍会留下痕迹
采访联系的痕迹,在报道发布后仍会成为问题。 报道发布后,组织一侧可能调查“谁知道这条信息”。 那时,信源的邮件、通话记录、云端查看、内部资料访问、打印、USB 使用、出入记录都可能被查看。
| 发布后可能被查看的内容 | 对信源的影响 |
|---|---|
| 内部资料访问 | 会缩小谁看过资料 |
| 发送时间 | 会与记者接触时间对照 |
| 电话和邮件记录 | 会看出联系事实 |
| 云端历史 | 会留下资料查看或共享 |
| 报道具体性 | 会限定知情人员 |
信源保护不只是联系期间的问题。 要设想到报道发布后的调查,从最初联系和资料处理开始设计。
联系前准备说明
记者一侧应准备能帮助信源作出安全判断的说明。 “高风险信息请不要从职场设备或实名邮件发送” “发送资料前,请先只咨询概要” “附件中可能残留元数据” 仅有这样的说明,也能减少初次接触的失误。
说明太长就容易不被阅读。 先简短说明最初不要做的事、可使用的联系方式、发送前要确认的事项。 安全的采访联系不是只要求信源努力,而是接收方也要设计入口。
总结
采访联系中,不只是对话内容,接触事实也会成为痕迹。
邮件、SNS DM、电话、聊天、云端共享、视频会议分别会留下日志、通知和账号信息。
高风险采访应从初次接触开始准备安全入口。
不要把平时账号或设备与采访联系混用,这也很重要。
信源保护从写报道之前的联系阶段就已经开始。
相关工具
Have I Been Pwned
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/
OnionShare
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://onionshare.org/