内部举报者使用信息提交工具前要确认的事
内部举报者在使用信息提交工具前需要确认的事
SecureDrop、GlobaLeaks、OnionShare 这样的工具,有时能在内部举报或匿名信息提交中发挥作用。
但是,在打开工具之前,有些事情必须确认。
接收方是否可信。资料中是否还残留元数据。是否会从内容推测出自己。是否使用了职场设备或业务网络。发送后如何确认回复。
先整理风险,再选择工具。
工具只保护入口
匿名信息提交工具用于保护联系和交接的入口。
不过,它们不会消除资料来源、内部日志、文档元数据、从内容反推等风险。
| 工具能帮助的事 | 残留风险 |
|---|---|
| 避开实名邮件 | 资料中残留作者名 |
| 避开普通云端 | 文件访问历史仍会留下 |
| 让连接来源不易看见 | 会从内容缩小候选范围 |
| 分开交接路径 | 接收方运营不当时仍然危险 |
工具很重要。
但是,在内部举报中,“发送什么”和“发送给谁”在某些场景更为重要。
看到 SecureDrop、GlobaLeaks、OnionShare 这样的名称,就认为“使用它就会匿名”,这种想法很危险。
这些工具在某些情况下,可能有助于比普通邮件、社交媒体私信、云端共享更安全地交接。 不过,工具不会自动消除使用者的操作失误。
如果从职场设备访问,会留在设备管理日志中。 如果从业务网络访问,可能会留在代理或 DNS 记录中。 如果资料中残留部门名或作者名,即使交接路径安全,来源也会暴露。
| 误解 | 实际情况 |
|---|---|
| 匿名工具就安全 | 还需要确认设备、网络、资料、内容 |
| 使用 就足够 | 发送文件或发送后的行动仍可能暴露信息 |
| 表单加密就足够 | 接收方的运营和保存方法也很重要 |
| 不写名字就安全 | 会从内容和时间缩小候选范围 |
确认接收方
要慎重选择接收方。
新闻机构、律师、公益举报窗口、审计机构、NGO、外部窗口等,不同选择会改变保护、应对和风险。
| 确认项目 | 理由 |
|---|---|
| 运营主体 | 谁在管理窗口 |
| 信息处理方式 | 谁能看到资料和举报内容 |
| 回复方法 | 持续联系是否会增加痕迹 |
| 法律保护 | 确认与公益举报或保密义务的关系 |
| 实际经验和说明 | 是否有风险说明或信源保护方针 |
重要的是,不要因为“有匿名表单”就信任接收方。
要看运营者的态度和说明。
确认要发送的资料
资料在发送前必须确认。
查看正文、文件名、元数据、作者、编辑历史、版本号、分发范围、截图通知和画面信息。
| 确认项目 | 查看理由 |
|---|---|
| 文件名 | 会包含本名、部门名、案件名 |
| 作者信息 | 会残留真实姓名或组织名 |
| 修改历史 | 会残留编辑者或评论 |
| 版本号和分发范围 | 会缩小能访问的人 |
| 正文中的特定线索 | 会显示谁知道这件事 |
修改资料有时也会影响证据价值。
高风险时,也要考虑不要独断加工,而是咨询法律或新闻专业人士。
确认使用环境
从职场设备或业务网络访问信息提交工具是危险的。
设备管理、代理、DNS、防火墙、日志、监控软件中可能会留下记录。
| 确认项目 | 理由 |
|---|---|
| 设备 | 是否不是职场管理设备 |
| 网络 | 是否不是业务 Wi-Fi 或内部线路 |
| 登录状态 | 是否没有登录实名账号 |
| 文件同步 | 是否不会自动保存到云端或备份 |
| 通知 | 画面共享或截图中是否不会出现信息 |
环境分离是工具的前提。
如果无法分离,也许还不是发送的阶段。
将发送内容控制在最小必要范围
在内部举报中,信息量越多,越有说服力,但身份识别风险也会增加。
在把所有资料一起发送之前,先思考对方作出判断真正需要什么。 特别是初次联系时,不要过度暴露自己的身份或内部位置通常更安全。
| 信息 | 初次给出过多的风险 |
|---|---|
| 部门名 | 候选范围会一下子缩小 |
| 详细工作日期 | 会与排班或出入日志核对 |
| 原始文件 | 残留作者、编辑历史、水印 |
| 内部术语 | 会显现所属部门或经验年数 |
| 个人情绪 | 或关系会显出本人特征 |
当然,要传达重要的不正当行为,需要具体性。 问题在于一开始就拿出全部内容。
在接收方可信、联系路径完善、能够确认资料处理方式之后,再分阶段提供信息,有时更安全。
在内部举报中,只凭正义感急着发送,会留下事后难以挽回的痕迹。
犹豫时不要急着发送
越是危险的内部举报,“想尽快告知”的心情越强。 但是,匆忙发送会增加失误。
没有确认文件。 使用职场网络。 登录实名账号时继续操作。 没有阅读接收方的运营说明。
这些失误会成为发送后难以撤回的痕迹。
| 应先停一次的场景 | 理由 |
|---|---|
| 没有阅读接收方说明 | 不知道信息会如何处理 |
| 没有确认资料元数据 | 会残留作者或编辑历史 |
| 只能使用职场设备 | 会留在管理日志中 |
| 正在情绪化地着急 | 容易给出不必要的信息 |
| 法律影响很大 | 需要咨询专家 |
选择不发送也是确保安全的一部分。 如果准备不足,就先整理环境和接收方。
发送后也要继续考虑
发送后风险仍会继续。
确认回复、发送追加资料、公开后的组织内部调查、应对采访、在社交媒体上的反应。每个阶段都会发生关联。
| 发送后的行动 | 注意事项 |
|---|---|
| 确认回复 | 不要从同一环境反复访问 |
| 追加资料 | 会增加新的元数据或时间关联 |
| 组织内部反应 | 避免因不自然行动而被怀疑 |
| 公开后的发言 | 不要在社交媒体或职场反应过度 |
| 持续咨询 | 维持安全的联系路径 |
内部举报不会在按下发送按钮时结束。
要把公开后的行动也纳入考虑。
总结
内部举报者在使用信息提交工具前,要确认接收方、资料、环境、发送后的行动。
SecureDrop、GlobaLeaks、OnionShare 这样的工具有用,但不会自动消除资料来源、内部日志、元数据、从内容反推等风险。
不要仅凭有匿名表单就判断为安全。
要确认谁在运营、记录什么、谁会看资料、发送后如何联系。
使用工具前的确认,会很大程度影响内部举报的安全性。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/
OnionShare
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://onionshare.org/