信息提交和文件共享中残留的元数据
在信息提交和文件共享中,问题不只是正文内容,也包括文件中残留的元数据。
匿名提交内部资料、照片、PDF、Office 文档、视频、音频时,作者姓名、公司名、编辑历史、拍摄日期和时间、位置信息、使用的软件、文件名都可能成为指向来源的线索。
这在信源保护和内部举报中尤其重要。 即使文件内容准确,也可能从文件周边信息推测出是谁提供了文件。
本文整理信息提交和文件共享中容易残留的元数据,以及发送前应确认的事项。
元数据会显示来源
元数据是附随在文件上的信息。
其中可能包括创建者、拍摄日期和时间、位置信息、编辑历史、评论、创建软件、设备名、公司名等。
即使正文中没有写名字,只要元数据中残留作者姓名或组织名,匿名性就会大幅削弱。
| 文件 | 可能残留的信息 |
|---|---|
| 图片 | GPS、拍摄日期和时间、相机型号 |
| 作者、创建软件、注释、嵌入文件 | |
| Office | 作者、公司名、修改历史、评论 |
| 视频 | 拍摄日期和时间、位置、设备信息、编辑软件 |
| 音频 | 标签、录音日期和时间、应用信息、背景音 |
元数据从外观上看不出来。 因此,重要的是不要凭外观判断安全。
信息提交中接收方的处理也很重要
发送文件后,对方可以保存、转发、分析该文件。
即使对方是可信的新闻机构或支援团体,如果发送方法不合适,发送者一侧的信息也可能残留。 使用普通电子邮件、实名云端、工作设备、平时使用的浏览器时,会从文件以外的路径发生关联。
| 路径 | 残留的线索 |
|---|---|
| 电子邮件 | 发件人、发送时间、邮件头 |
| 云端共享 | 所有者名、共享历史、浏览历史 |
| 工作设备 | 设备管理日志、文件访问历史 |
| 个人 SNS 私信 | 账号、回复、截图 |
| 提交表单 | IP、浏览器信息、上传时间 |
即使删除了文件元数据,只要发送路径与实名侧相连,匿名性就会崩塌。
注意作者信息
在文档文件中,作者信息尤其重要。
Office 文档和 PDF 中,可能残留作者姓名、公司名、编辑者、评论、修改历史。 在组织的电脑上创建的资料中,可能包含组织名或用户名。
在内部举报中,不只是资料内容,谁能够访问该资料也会成为推测材料。 除了元数据,还要确认正文内容、部门名、时间线、专业术语。
| 信息 | 风险 |
|---|---|
| 作者姓名 | 直接暴露个人 |
| 公司名 | 暴露所属组织 |
| 编辑者 | 可以看出相关人员范围 |
| 评论 | 残留内部对话或判断 |
| 修改历史 | 可以知道谁修改了哪里 |
作者信息有时仅打开文件是看不到的。 需要用属性或检查工具确认。
照片和视频中会留下地点
在照片和视频中,不只是 GPS 和拍摄日期时间,背景也会成为问题。
即使删除了元数据,也可能从建筑物、招牌、制服、桌子、窗户反射、道路、车站广播、周围对话等推测出地点或人物。
在信息提交中,现场照片有时会成为有力证据。 但是,证据价值和匿名性有时会发生冲突。 要分开思考:隐藏到什么程度会削弱证据,公开到什么程度会让提供者陷入危险。
高风险情况下,不要只凭自己判断进行加工,应考虑可信的咨询对象。
发送前制作提交用副本
不要直接发送原文件,而是制作提交用副本。
原文件根据需要作为证据保存。 在提交用副本中,确认文件名、元数据、正文、背景、评论、不需要的文件。
| 阶段 | 确认事项 |
|---|---|
| 1 | 安全保存原文件 |
| 2 | 制作提交用副本 |
| 3 | 泛化文件名 |
| 4 | 确认元数据 |
| 5 | 确认内容和背景 |
| 6 | 确认发送路径 |
| 7 | 思考发送后会留下什么 |
转换或编辑之后,要再次确认元数据。 因为编辑软件可能会附加新的作者信息。
工具只是辅助,并非万能
ExifTool 这样的工具有助于确认元数据。
ExifTool 是一种代表性工具,可以在本地确认和编辑图片、视频、文档等文件的元数据。在内部举报和信息提交中,把文件上传到外部网站进行确认这一行为本身会成为新的风险,因此能够在本地确认的工具很重要。 URL : https://exiftool.org/
但是,不能因为工具没有显示任何内容,就说文件完全安全。 工具不支持的内部信息、正文中的固有名词、图片背景、音频、共享路径,都需要另行确认。
在匿名性上,要把工具结果和人工目视确认分开考虑。
提交前的确认顺序
在信息提交中,确认顺序也很重要。
不要一开始就使用元数据删除工具。首先决定需要保护什么。 根据需要保护的是提供者本人、信源,还是避免牵连同事或家人,确认范围会发生变化。
| 顺序 | 确认事项 |
|---|---|
| 1 | 决定需要保护谁 |
| 2 | 查看文件内容中是否有固有名词或时间线 |
| 3 | 确认文件名和文件夹名 |
| 4 | 确认元数据 |
| 5 | 确认发送路径和接收方显示 |
| 6 | 思考发送后由谁处理 |
在匿名性上,如果先只做技术性的删除作业,就会漏看正文或发送路径的风险。 先决定保护对象,然后确认文件和路径。
高风险资料不要独自判断
内部举报、违法行为的举报、工作场所资料、与信源有关的文件,不只有匿名性风险,也有法律风险和安全风险。
贸然加工可能会改变证据价值。 反过来,如果不加工就发送,提供者或相关人员可能会被推测出来。
在这种场景中,不要只根据本文判断。 应考虑适合具体情况的咨询对象,例如可信的新闻机构、支援团体、律师等。
发送后,当对方要求追加资料时,也很重要的是不要慌忙回应。 越是追加文件,确认越容易变松,最初资料中没有暴露的作者信息或时间线可能混入其中。
总结
在信息提交和文件共享中,不只是文件正文,元数据也会成为来源线索。
图片、PDF、Office 文档、视频、音频中,可能残留创建者、公司名、编辑历史、拍摄日期和时间、位置信息、标签、使用的软件。
此外,发送路径、云端所有者名、邮件头、提交表单日志、工作设备历史,也会成为其他线索。
在匿名提交文件前,不要直接发送原文件,应制作提交用副本,并确认文件名、元数据、内容、共享路径。 高风险的信息提交中,不要只根据本文判断,也应考虑可信的咨询对象。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/
OnionShare
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://onionshare.org/