Метаданные в Word, PDF и Excel: как не раскрыть персональные данные при публикации документов на сайте

Невидимая угроза: что скрыто в каждом файле, который вы публикуете

Зачем это важно прямо сейчас

В феврале 2003 года британское правительство опубликовало доклад об иракском оружии массового поражения. Документ был размещён в формате DOC — и через несколько часов исследователи обнаружили в метаданных файла имена четырёх чиновников, непосредственно работавших над текстом. Скандал стал международным: выяснилось, что значительная часть доклада была позаимствована из чужих работ. После этого инцидента британское правительство переключилось на публикацию документов в PDF [1].

Эта история произошла 22 года назад, но проблема никуда не делась. Напротив, масштаб рисков вырос: компании публикуют на сайтах сотни и тысячи документов, а инструменты для автоматического массового извлечения метаданных стали общедоступными. Злоумышленникам больше не нужно исследовать каждый файл вручную.

Статья адресована всем, кто публикует документы в интернете: сотрудникам пресс-служб, юристам, специалистам по ИБ, системным администраторам, владельцам корпоративных сайтов. Она разбирает механизм проблемы, конкретные типы данных, которые утекают, реальные инциденты, инструменты нападающих и способы защиты — без маркетинговых обещаний и без упрощений.

Что такое метаданные документа и почему они опасны

Метаданные — это «данные о данных»: структурированная информация, которая автоматически создаётся и встраивается в файл при его создании, редактировании или сохранении [2]. Канадский регулятор по защите персональных данных (Office of the Privacy Commissioner of Canada) описывает метаданные как «скрытый уровень дополнительной информации», который сопровождает документ при любой передаче — по почте, через облако, при публикации на сайте [3].

Метаданные бывают трёх видов:

1. Базовые свойства файла: имя автора, организация, дата создания и последнего изменения, дата печати, количество правок, суммарное время работы над документом.
2. История редактирования: правки с функцией Track Changes, комментарии, предыдущие версии, сведения о всех, кто сохранял документ за последние сессии.
3. Технические и системные данные: имя компьютера, путь к файлу (например, C:\Users\IvanovAA\Documents\Доверенность_черновик.docx), версия и название ПО, использованного для создания, данные о принтере (включая путь к сетевому принтеру), пользовательские XML-данные.

Особенность большинства форматов Office в том, что эти сведения сохраняются незаметно для пользователя. Человек создаёт документ, проверяет текст, экспортирует в PDF — и считает, что всё в порядке. На деле файл уносит с собой подробный «анамнез» своего создания [4].

Какие данные конкретно утекают: разбор по форматам

Word (.docx, .doc)

Microsoft Word хранит наиболее богатый набор метаданных среди офисных форматов. Официальная документация Microsoft перечисляет следующие категории потенциально чувствительной информации [5]:

1. Свойства документа: автор, организация, тема, ключевые слова, название. Office обновляет эти поля автоматически.
2. Данные из электронной почты: заголовки писем, сведения об отправке на рецензию, маршруты документа — если файл пересылался по почте.
3. Комментарии и правки Track Changes: содержат имена всех рецензентов и полный текст всех когда-либо сделанных правок, включая удалённые.
4. Скрытый текст: текст, отформатированный как «скрытый» (Ctrl+Shift+H), не отображается при обычном просмотре, но остаётся в файле и обнаруживается поиском [6].
5. Пути к принтерам и файлам: включая сетевые пути вида \\server01\print\office_moscow, которые раскрывают имена внутренних серверов.
6. Шаблоны: имя шаблона, использованного при создании, — может раскрыть внутренние названия проектов или клиентов.
7. Предыдущие версии и автосохранения: могут содержать черновой текст, который автор планировал удалить.

Исследование Lifehacker описывает типичный сценарий: если документ готовили несколько человек, с большой вероятностью там будут исправления из режима согласования и комментарии, показывающие, кто и что менял [7]. В корпоративной практике это означает риск раскрытия имён и должностей конкретных сотрудников — то есть персональных данных в смысле 152-ФЗ.

Excel (.xlsx, .xls)

В Excel к стандартным метаданным добавляются специфические для таблиц риски [8]:

1. Скрытые строки, столбцы и листы: распространённая практика — «спрятать» служебные данные или черновые расчёты, не удаляя их. Любой получатель может их отобразить стандартными средствами Excel (Формат → Строка/Столбец → Показать). Это одна из наиболее частых причин утечки персональных данных при передаче таблиц: скрытые листы могут содержать исходные базы с ФИО, паспортными данными, зарплатами сотрудников.
2. Примечания к ячейкам: по умолчанию первая строка примечания содержит имя пользователя компьютера. Инспектор документов не удаляет содержимое примечаний, а только имя автора в них [9].
3. Внешние ссылки: даже если данные из внешней книги не видны, имена файлов и листов в ссылках сохраняются.
4. Макросы VBA: могут содержать жёстко зашитые учётные данные, пути к серверам, комментарии разработчиков с внутренней документацией.
5. Внедрённые объекты: документы Office, изображения или другие файлы, вставленные как объект, несут собственные метаданные.
6. Пути к файлам для веб-публикации и данные принтеров: аналогично Word.

Особый риск представляет ситуация, когда скрытый лист содержит данные, участвующие в формулах видимых листов: удаление такого листа ломает вычисления, поэтому сотрудники нередко его «скрывают», не задумываясь о том, что данные остаются доступными [9].

Отдельная опасность — перекрытые данные. В Excel можно разместить блок данных за рамками видимой области листа или поверх него поместить изображение. Инспектор документов не всегда обнаруживает такие объекты [8].

PDF

PDF принято считать «финальным», защищённым форматом — и это одно из самых опасных заблуждений в корпоративной практике.

Во-первых, при конвертации Word-документа в PDF все метаданные исходного файла переносятся автоматически, плюс добавляются новые — данные о ПО конвертации [10]. Это означает, что публикация PDF, созданного из необработанного Word, ничем не отличается по уровню риска от публикации самого Word.

Исследование, опубликованное SecurityWeek, проанализировало 39 664 PDF-файлов с сайтов государственных структур. Результаты показательны [11]:

1. У 76% файлов присутствовали метаданные о ПО, использованном для создания.
2. У 42% — данные об операционной системе.
3. У 4% — имена авторов документов.
4. В 52 файлах обнаружились адреса электронной почты.
5. В 1 814 PDF — внутренние пути к файлам.
6. Полноценная санация (уровень 3 из 4) была проведена лишь у 8% всех файлов.

Исследователи выделили четыре уровня санации PDF: уровень 0 — полные метаданные, без какой-либо очистки; уровень 1 — частичная очистка; уровень 2 — метаданные удалены; уровень 3 — полная санация, включая все скрытые объекты. Большинство организаций либо не проводят очистку вообще, либо ограничиваются поверхностным уровнем [11].

Специфические риски PDF включают [12]:

1. XMP-метаданные: расширенный формат метаданных, встроенный в PDF наряду со стандартными полями Info. Многие инструменты очищают только Info, не трогая XMP.
2. Встроенные изображения: если в PDF есть фотографии со смартфона или камеры, они могут содержать EXIF-данные с GPS-координатами места съёмки.
3. Комментарии и аннотации: даже если они визуально скрыты, они присутствуют в структуре файла.
4. Версии и история: PDF поддерживает инкрементальное обновление — предыдущие версии могут быть восстановлены из структуры файла.
5. Встроенные файлы и вложения: любые файлы, вложенные в PDF, несут собственные метаданные.
6. Технические данные об ОС и версиях ПО: злоумышленник может определить, какая версия Adobe Acrobat или другого ПО используется в организации, и использовать это для атаки на известные уязвимости [11].

Как атакующий эксплуатирует метаданные: инструменты разведки

Понимание инструментов нападения помогает правильно оценить масштаб проблемы.

Metagoofil

Metagoofil — свободно распространяемая Python-утилита, включённая в дистрибутив Kali Linux [13]. Принцип работы прост: задаётся целевой домен (например, company.ru), указываются типы файлов (pdf, doc, xls, ppt), и инструмент автоматически находит через Google все документы, опубликованные на этом домене, скачивает их и извлекает метаданные. В итоговом отчёте — список учётных записей пользователей, адреса электронной почты, внутренние пути к файлам, названия серверов, версии ПО [14].

Характерно, что сам процесс полностью пассивен — никакого вмешательства в работу сайта нет. Это делает такую разведку практически необнаруживаемой и, при сборе публично доступных документов, — законной [15].

FOCA (Fingerprinting Organizations with Collected Archives)

FOCA — инструмент с графическим интерфейсом для Windows, позволяющий автоматизировать сбор и анализ метаданных с сайтов. Помимо стандартных полей, FOCA строит граф связей между обнаруженными именами пользователей, серверами и сетевыми путями. В результате специалист по безопасности (или злоумышленник) получает структурированную карту ИТ-инфраструктуры организации — буквально из публично доступных документов.

ExifTool

ExifTool — кросс-платформенная утилита командной строки для чтения и редактирования метаданных широкого спектра форматов [16]. Применяется и для атаки, и для защиты. Команда exiftool -r -csv /путь/к/папке > report.csv за несколько секунд создаст CSV-таблицу со всеми метаданными всех документов в указанной директории.

Исследователи из Selectel отмечают, что анализ метаданных документов является стандартным элементом OSINT-разведки и входит в базовый арсенал специалистов по информационной безопасности [15].

Реальные инциденты: когда метаданные меняли исход дел

Британский «иракский доклад» (2003)

Классический пример, уже упоминавшийся во введении. Метаданные Word-документа раскрыли авторов правительственного доклада и доказали факт заимствования текста из открытых источников. По итогам скандала Великобритания перешла на публикацию официальных документов в PDF [1].

Дело Пентагона (2005)

Пентагон опубликовал PDF-отчёт о военных операциях, считая, что все чувствительные данные надёжно скрыты. Однако из метаданных и скрытого слоя документа исследователям удалось извлечь засекреченный текст и историю правок [12].

Британская разведка (2019)

Британский государственный чиновник опубликовал PDF, в метаданных которого содержались имена офицеров разведки. Документ был изъят из публичного доступа, однако к тому моменту его уже успели скачать и сохранить [12].

Правовые инциденты в юридической практике

Исследование EDUCAUSE Review описывает тип инцидента, распространённый в юридической среде: адвокаты направляли суду документы со включённым режимом отслеживания правок. Из метаданных извлекались комментарии с обсуждением юридической стратегии, которые должны были охраняться адвокатской тайной [17]. Портал MailMergic фиксирует аналогичные случаи: скрытые правки в договорах раскрывали переговорную позицию стороны — данные, которые та никогда не собиралась передавать контрагенту [12].

Российский контекст

В российской практике специфика дополнена нормативным давлением. Роскомнадзор при проверках вправе изучать документы, размещённые на корпоративном сайте. Если в метаданных опубликованного документа обнаруживается имя и должность конкретного сотрудника — это персональные данные в смысле ст. 3 Федерального закона № 152-ФЗ «О персональных данных» [18]. Их незапланированная публикация может квалифицироваться как несанкционированное распространение.

Правовой контекст: 152-ФЗ и метаданные

Что является персональными данными в метаданных

Согласно 152-ФЗ, персональными данными признаётся любая информация, относящаяся к определённому или определяемому физическому лицу [18]. Применительно к метаданным документов к ПДн могут относиться:

1. Полное имя автора или редактора документа.
2. Адрес корпоративной электронной почты, если по нему идентифицируется конкретный человек.
3. Имя учётной записи (username), особенно если оно содержит ФИО (типичный корпоративный формат IvanovAA).
4. Путь к файлу, включающий имя пользователя (C:\Users\PetrovIP\...).
5. Имя компьютера в домене, включающее инициалы сотрудника.

Оператор персональных данных, разместивший документ с такими метаданными в открытом доступе без соответствующего правового основания, фактически осуществляет передачу (распространение) ПДн неограниченному кругу лиц.

Новая система штрафов с 30 мая 2025 года

Федеральный закон от 30.11.2024 № 420-ФЗ радикально изменил административную ответственность за нарушения в сфере ПДн [19]. Ключевые изменения, вступившие в силу с 30 мая 2025 года:

1. Утечка данных от 1 000 до 10 000 субъектов — штраф для организации от 3 до 5 млн рублей.
2. Утечка от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей.
3. Утечка свыше 100 000 субъектов или биометрических данных — от 15 до 20 млн рублей.
4. Повторная утечка — оборотный штраф от 1% до 3% годовой выручки (минимум 20 млн, максимум 500 млн рублей).
5. Неуведомление Роскомнадзора о намерении обрабатывать ПДн — от 100 000 до 300 000 рублей [20].

Помимо административной, с декабря 2024 года введена уголовная ответственность: статья 272.1 УК РФ предусматривает до 10 лет лишения свободы за незаконный оборот компьютерной информации, содержащей ПДн [19].

Прямой однозначной судебной практики именно по метаданным документов на сайтах в открытых источниках на момент написания статьи не обнаружено. Однако правовая логика такова: публикация документа с метаданными, однозначно идентифицирующими физическое лицо, является распространением ПДн — и именно регулятор, а не оператор, определяет, было ли оно законным.

Мифы и заблуждения, которые приводят к инцидентам

«PDF — это безопасно»

Наиболее распространённое заблуждение. PDF не безопаснее Word по умолчанию — при конвертации метаданные переносятся. Более того, PDF может содержать дополнительные слои данных (XMP), которые инструменты поверхностной очистки не затрагивают [11].

«Я просто скрыл строки/листы — данных не видно»

Скрытые строки, столбцы и листы Excel доступны любому получателю файла через стандартное меню (Формат → Показать). Это не защита — это иллюзия защиты [9]. При распространении копии книги, содержащей скрытые строки, столбцы или листы, другие пользователи могут отобразить их и просмотреть содержащиеся в них данные [8].

«Я нажал "Удалить всё" в Инспекторе документов — всё чисто»

Инспектор документов не обнаруживает текст, скрытый методами, отличными от стандартного форматирования (например, белый текст на белом фоне). Он также не всегда находит объекты, перекрытые изображениями, и некоторые типы внедрённых данных [8]. Кроме того, в общих книгах Excel инспектор вообще не может удалить примечания, свойства документа и персональные данные [5].

«Комментарии удалены — история правок тоже»

Комментарии и история правок (Track Changes) — разные сущности. Удаление одного не затрагивает другое. В Word обе функции нужно отключать и очищать отдельно [6].

«Мы публикуем только внешние документы — внутренние метаданные не страшны»

Метаданные именно о «внутреннем» — именах серверов, путях к файлам, версиях ПО — наиболее ценны для разведки. Узнав, какую версию Adobe Acrobat или Microsoft Word использует организация, атакующий может прицельно подобрать подходящий публичный эксплойт [11].

Практическая часть: как правильно очищать документы перед публикацией

Инструменты для Microsoft Office: Инспектор документов

Встроенный инструмент доступен во всех актуальных версиях Office: Файл → Сведения → Поиск проблем → Инспектор документов. Он проверяет и позволяет удалить [5]:

1. Комментарии, правки, версии и примечания.
2. Свойства документа и персональную информацию (автор, организация, тема).
3. Скрытый текст (Word).
4. Скрытые строки, столбцы и листы (Excel).
5. Данные XML.
6. Заголовки и подножия, водяные знаки.

Важная оговорка Microsoft: перед запуском инспектора рекомендуется сохранить копию документа с расширением «исходный», так как часть удалённых данных не подлежит восстановлению [6].

Чтобы Office в принципе не сохранял метаданные: Файл → Параметры → Центр управления безопасностью → Параметры центра управления безопасностью → Параметры конфиденциальности → «Удалять персональные данные из свойств файла при сохранении» [7].

Очистка PDF: уровни санации

Для PDF рекомендуется применять инструмент «Очистить документ» (Sanitize Document) в Adobe Acrobat Pro: Инструменты → Редактировать → Очистить документ. Это более радикальная операция, чем простое удаление метаданных: она пересобирает PDF, удаляя скрытые слои, встроенный поиск, скрипты и прочие объекты [11].

Если Adobe Acrobat недоступен, применяются следующие альтернативы:

1. ExifTool (командная строка, кросс-платформенный): exiftool -all= document.pdf — удаляет все метаданные, создаёт резервную копию с расширением .bak [16].
2. MAT2 (Metadata Anonymisation Toolkit 2, Linux/macOS): поддерживает PDF, docx, xlsx, изображения, аудио. Есть графический интерфейс — Metadata Cleaner [21].
3. «Печать в PDF»: перепечатка документа в виртуальный PDF-принтер создаёт новый файл с минимальным набором метаданных. Недостаток — теряется структура (заполняемые формы, цифровые подписи, интерактивность).

Пошаговый чек-лист подготовки документа к публикации

1. Создайте рабочую копию документа (добавьте суффикс _pub к имени файла перед очисткой).
2. Проверьте и удалите все комментарии и исправления Track Changes.
3. Проверьте скрытые элементы (листы, строки, столбцы в Excel; скрытый текст в Word).
4. Запустите Инспектор документов: Файл → Сведения → Поиск проблем → Инспектор документов.
5. Нажмите «Удалить всё» напротив каждой категории с обнаруженными данными. (Внимание: для Excel — предварительно вручную просмотрите скрытые листы, чтобы не удалить нужные данные безвозвратно.)
6. Проверьте колонтитулы и водяные знаки на наличие служебной информации.
7. Проверьте имя файла: оно не должно содержать ФИО, внутренние коды или имена клиентов.
8. Экспортируйте в PDF через Файл → Экспорт (не через «Сохранить как»).
9. Откройте полученный PDF в Adobe Acrobat или браузере: Файл → Свойства → вкладка «Описание» — убедитесь, что поля автора, темы и ключевых слов пусты или содержат только нейтральную информацию.
10. Для повышенной надёжности: выполните команду exiftool -all= file.pdf или примените Adobe Acrobat Pro → Очистить документ.
11. Повторно откройте итоговый файл и проверьте, что содержимое документа отображается корректно.

Организационные меры

Технические инструменты не работают без организационного процесса. Исследование Privacy Commissioner of Canada подчёркивает: самое важное для предотвращения утечек метаданных — повышение осведомлённости сотрудников через обучение [3]. Рекомендации:

1. Разработайте внутренний стандарт подготовки документов к публикации — с чёткими шагами и ответственными.
2. Включите проверку метаданных как обязательный шаг в регламент публикации материалов на сайте.
3. Проведите аудит уже опубликованных документов: скачайте выборку файлов с корпоративного сайта и проверьте их метаданные с помощью ExifTool или аналогичного инструмента.
4. Используйте обезличенные учётные записи для создания «официальных» документов (например, press@company.ru вместо ivanov.aa@company.ru).
5. Настройте корпоративный шаблон Office так, чтобы поля «Организация», «Автор» и другие содержали нейтральные значения или были пустыми.
6. Для государственных органов и крупных организаций рассмотрите внедрение автоматизированной очистки метаданных при загрузке файлов на сайт (на уровне CMS или шлюза).

Типичные ошибки и как их избежать

Ошибка 1: Публикация рабочего файла вместо финальной версии

Самая частая причина инцидентов — публикуется не «чистая» версия, а рабочий файл, накопивший историю правок. Решение: ввести правило «публикуется только файл из папки _pub, созданный специально для этого».

Ошибка 2: Считать, что «удалить метаданные» = удалить автора

Автор — лишь одно из десятков полей. Нужна полная очистка через Инспектор документов или ExifTool.

Ошибка 3: Не проверять PDF после конвертации

После экспорта в PDF всегда открывайте итоговый файл и проверяйте его свойства. Это занимает 30 секунд.

Ошибка 4: Забывать о встроенных изображениях

Если в документ вставлена фотография, сделанная на смартфон с включённой геолокацией, — GPS-координаты могут сохраниться в EXIF-данных встроенного изображения, которые перейдут в PDF. Перед вставкой фотографий в документы очищайте их EXIF отдельно.

Ошибка 5: Не проверять исторически опубликованные файлы

Организации проводят очистку для новых документов, но не проверяют сотни файлов, опубликованных ранее. Необходим периодический аудит: запустить Metagoofil или ExifTool против собственного домена и посмотреть, что «видно снаружи».

Ошибка 6: Полагаться только на инструменты

Инструменты не заменяют понимания. Белый текст на белом фоне, объекты за пределами слайда, данные в макросах VBA — это примеры скрытой информации, которую автоматика не всегда находит. Финальная проверка «глазами» остаётся обязательной.

Будущее и тренды: куда движется проблема

Рост объёмов публикуемых документов

Цифровизация государственного управления и бизнеса ведёт к экспоненциальному росту числа документов, публикуемых в открытом доступе. Это пропорционально увеличивает поверхность атаки.

Интеграция ИИ в разведку метаданных

Инструменты автоматического сбора и анализа метаданных становятся более мощными. Если раньше анализ требовал технических навыков, сегодня существуют сервисы, позволяющие «просканировать» весь сайт на метаданные за несколько минут без специальных знаний.

Ужесточение регулирования

Российское законодательство движется в сторону усиления ответственности. Введение оборотных штрафов с мая 2025 года [19] означает, что для крупных организаций даже единичный инцидент с утечкой ПДн может стоить сотен миллионов рублей. Это создаёт экономический стимул для внедрения системного контроля.

Ужесточение требований к PDF

Аналитики платформы Smallpdf прогнозируют, что регуляторы будут всё активнее формулировать требования к санации метаданных в публично размещаемых документах, особенно для государственных и финансовых организаций [22]. В ЕС соответствующие требования уже частично прописаны в контексте GDPR, в России аналогичная практика пока только формируется.

Privacy-by-design для документооборота

Перспективное направление — встроенная «гигиена» на уровне корпоративных систем документооборота: автоматическая очистка метаданных как стандартная часть процесса согласования и публикации, а не ручная операция «по памяти». Это соответствует принципу privacy-by-design, закреплённому в лучших мировых практиках обработки ПДн.

«Пятый фактор»: системный контроль персональных данных там, где они действительно хранятся

Описанная проблема — лишь один из многих «слепых пятен» в управлении персональными данными. Метаданные публично размещённых документов — это то, что видно снаружи. Но организации чаще не знают, что происходит внутри: где в корпоративных базах данных, хранилищах, CRM-системах, почте и 1С появились новые поля с ПДн; какие интеграции и сервисы неожиданно начали обрабатывать персональные данные; какие изменения в ИТ-ландшафте создали новые риски, пока не ставшие инцидентом.

Именно эту задачу решает платформа Пятый фактор — on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах (БД, хранилища, почта, AD/LDAP, CRM, 1С, API).

Ключевая особенность платформы — работа исключительно с метаданными, структурой и агрегатами, без передачи и хранения «сырых» значений ПДн. Это означает, что само решение не становится дополнительным источником риска. В результате компания получает живую «карту ПДн»: где и какие данные есть, кто их владелец, что изменилось с момента последней проверки. Новые поля в базах данных, новые интеграции, появление ПДн там, где их не должно быть, — всё это фиксируется до того, как ситуация превратится в инцидент.

В контексте роста штрафов и усиления регуляторного давления в 2025–2026 годах непрерывный автоматизированный контроль — это уже не опция для «продвинутых», а базовое требование к операторам, обрабатывающим значимые объёмы ПДн.

Заключение: что делать прямо сейчас

Проблема метаданных в документах — системная, а не случайная. Она существует потому, что форматы Office по умолчанию настроены на удобство совместной работы, а не на безопасность публикации. Единственный способ её решить — сделать очистку метаданных обязательным шагом рабочего процесса, а не факультативной проверкой «на всякий случай».

Три действия, которые можно выполнить сегодня:

1. Проверить уже опубликованные документы. Скачайте несколько PDF и Word-файлов со своего корпоративного сайта. Откройте свойства файла (правая кнопка → Свойства → Подробно) или запустите exiftool -csv file.pdf. Посмотрите, что видно.
2. Ввести обязательный шаг очистки. Добавьте в регламент публикации материалов пункт: «Перед загрузкой на сайт каждый документ проходит проверку через Инспектор документов (Office) или ExifTool с удалением всех метаданных».
3. Провести обучение. Один практический инструктаж для сотрудников, готовящих документы к публикации, снижает риск в разы эффективнее любого технического инструмента.

Источники

[1] Kaspersky Blog — «Как невидимые данные электронных документов приводят к реальным проблемам» — https://www.kaspersky.ru/blog/office-documents-metadata/14277/

[2] Privacy Commissioner of Canada — «The Risks of Metadata» — https://www.priv.gc.ca/en/privacy-topics/technology/02_05_d_30/

[3] Privacy Commissioner of Canada — «The Risks of Metadata» (организационные меры и осведомлённость) — https://www.priv.gc.ca/en/privacy-topics/technology/02_05_d_30/

[4] Kaspersky Blog — «Как невидимые данные электронных документов приводят к реальным проблемам» — https://www.kaspersky.ru/blog/office-documents-metadata/14277/

[5] Microsoft Support — «Remove hidden data and personal information by inspecting documents, presentations, or workbooks» — https://support.microsoft.com/en-us/office/remove-hidden-data-and-personal-information-by-inspecting-documents-presentations-or-workbooks-356b7b5d-77af-44fe-a07f-9aa4d085966f

[6] zaWindows.ru — «Как удалить скрытую личную информацию, которую Microsoft Office добавляет к вашим документам» — https://zawindows.ru/как-удалить-скрытую-личную-информаци/

[7] Lifehacker.ru — «Как удалить скрытые персональные данные из документов Microsoft Office» — https://lifehacker.ru/personalnye-dannye-v-ms-office/

[8] Microsoft Support / cdodra.ru — «Как защитить информацию в Microsoft Word. Как удалить скрытые персональные данные из документов Microsoft Office» — https://cdodra.ru/cranes/kak-zashchitit-informaciyu-v-microsoft-word-kak-udalit-skrytye-personalnye-dannye-iz.html

[9] ExcelTable.com — «Защита персональных данных в файле Excel» — https://exceltable.com/vozmojnosti-excel/zashchita-personalnyh-dannyh

[10] Renamer.ai — «How to Remove Hidden Metadata from PDFs and Documents» — https://renamer.ai/insights/file-types-leak-privacy-shared-online

[11] SecurityWeek — «Research: Security Agencies Expose Information via Improperly Sanitized PDFs» — https://www.securityweek.com/research-security-agencies-expose-information-improperly-sanitized-pdfs/

[12] MailMergic — «What PDF Metadata Really Reveals» — https://mailmergic.com/blog/what-pdf-metadata-really-reveals/

[13] Kali Linux Tools — «mat2» — https://kali.tools/?p=4749

[14] Hackers Arise — «Open Source Intelligence (OSINT), Part 05: Collecting Metadata with Metagoofil» — https://hackers-arise.com/osint-part-5-collecting-metadata-with-metagoofil/

[15] Selectel Blog — «Что такое OSINT: поиск информации по открытым данным» — https://selectel.ru/blog/osint/

[16] SecurityLab — «EXIF, метаданные фото и документов: извлечение, анализ и инструменты» — https://www.securitylab.ru/blog/personal/Technolady/354812.php

[17] EDUCAUSE Review — «Are Your Documents Leaking Sensitive Information? Scrub Your Metadata!» — https://er.educause.edu/blogs/2017/1/are-your-documents-leaking-sensitive-information-scrub-your-metadata

[18] ГАРАНТ — «Федеральный закон О персональных данных N 152-ФЗ» — https://base.garant.ru/12148567/

[19] b-152.ru — «Закон о персональных данных: что изменилось в 2025–2026 годах» — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[20] КонсультантПлюс — «Персональные данные: новые штрафы с 30 мая 2025 года» — https://www.consultant.ru/legalnews/28492/

[21] Privacy Guides — «Remove PII with Metadata Scrubbers and Data Redaction Tools» — https://www.privacyguides.org/en/data-redaction/

[22] Smallpdf — «6 Security Risks With PDF Metadata & How to Mitigate Them» — https://smallpdf.com/blog/security-risks-with-pdf-metadata-and-how-to-mitigate-them