網教平台Canvas疑遭攻擊 全球逾8800學校2.75億人數據或被盜 港五院校4.5萬師生資料恐外洩
全球高等院校廣泛使用的網上教學平台Canvas懷疑受到網絡攻擊,世界各地近9,000所學校近2.75億名學生與教師的數據可能已被竊取,引發多國教育機構關注。本港部分教育機構也受事件影響,個人資料私隱專員公署透露,共接到5個教育機構的相關事故通報,包括香港理工大學、香港建造學院、香港教育城、香港科技大學、香港演藝學院等,涉及逾4.5萬名學生及員工的姓名和電郵地址等資料或遭外洩,已根據既定機制展開調查。根據黑客在網上發放的名單,另兩所本港機構包括三育書院及香港醫學專科學院懷疑亦受到影響。 ●香港文匯報記者 高鈺
Canvas為近年熱門的網上學習管理系統,讓教師網上發布課程內容、布置作業、進行考試及評分;學生亦可透過平台提交作業、查看成績及進行遠距學習等,其活躍用戶約3,000萬個。
「教師免費服務」有漏洞
黑客組織ShinyHunters近日發出訊息,指已入侵Canvas母公司Instructure的伺服器,竊取了大約3.65TB的Canvas數據,涉及逾8,800所教育機構2.75億個用戶紀錄,並要求相關學校在下周二(12日)前與其談判,否則將公開已竊取的資料。美國、澳洲、英國、瑞典等地的基礎及教育機構均包括在外洩名單中,不乏名牌大學如哈佛大學、麻省理工學院等。
Instructure在回應事件時表示,被竊資料包括姓名、電子郵件地址和學生證號碼等,但沒有證據顯示使用者密碼、出生日期、財務資訊或身分證號碼遭到洩露,又稱黑客是利用Canvas平台上供試用的「教師免費服務」中的漏洞,目前相關服務已關閉,有信心恢復平台的訪問權限。
對是次事件,香港私隱專員公署共接獲5間本港教育機構的通報,指其Canvas平台遭黑客入侵。其中,理大約有4.2萬名學生及員工的姓名及電郵資料可能遭外洩,而建造學院約2,500名學生及員工受影響,涉及姓名、電郵地址及課程訊息等。
公署提醒,相關機構應暫時停用平台並將之與其他資訊系統分離,以及盡快檢視其資訊系統保安,而可能受影響的市民更要提高警惕,收到不明來歷或可疑的來電、短訊或電郵時要提高警覺,切勿隨意打開附件、連結或披露個人資料。
理大持續跟進事故報告
理大回覆事件時表示,早前接獲Instructure通知Canvas平台發生資料外洩事故,該校已即時按既定機制聯絡涉事公司,全面了解事件帶來的影響,並就此事件向私隱專員公署通報,及持續跟進事故報告及相關後續事宜。
同樣受事件影響的演藝學院表示,事件牽涉外判承辦商,涉約1,200位職員及學生,學院現正聯絡受影響師生,並有待承辦商進一步交代。
教育城表示,事件涉及非法獲取其部分用戶資料,包括用戶姓名、電郵地址及學生編號,而其餘用戶資料均儲存於教城系統,未有證據顯示受事故影響,強調會與相關部門積極跟進事件,確保作出適當處理並加強未來的資訊及網絡安全防護。
除了5間已通報的本港教育機構,包括三育書院、香港醫學專科學院亦出現於ShinyHunters發放的受影響名單中。同樣在名單上的香港城市大學回應表示,截至8日未發現該校有資料外洩,會繼續加強保障資料安全。
