教學平台Canvas被黑客入侵外洩資料 網安中心籲本地院校檢視系統安全
【大公報訊】記者郭如佳報道:跨國網上學習管理平台Canvas近日傳出保安事故,開發商Instructure直認平台遭黑客組織入侵,對方聲稱已非法取得來自全球多間院校的用戶資料,並企圖勒索金錢。事件涉及全球用戶數目高達2.75億,資料總量約3.65TB。
香港網絡安全事故協調中心(HKCERT)表示,得悉事件後已主動通知本地可能受影響的院校,提醒加強系統監察及提防相關網絡攻擊。目前已有五間本地院校因懷疑資料外洩,向個人資料私隱專員公署作出通報,實際影響範圍仍有待進一步調查。
根據資料顯示,是次可能涉及的資訊包括用戶姓名、電郵地址、學生編號及用戶之間的通訊紀錄。至於密碼、出生日期、身份證明文件號碼及金融交易資料等較敏感資訊,暫時未有證據顯示被取用。
已知受影響的本地院校包括香港理工大學、香港科技大學、香港演藝學院、香港建造學院及香港教育城。由於相關資料可用作身份識別或聯絡用途,網絡安全專家指出,黑客可利用這些資料製作仿真度較高的詐騙訊息,例如冒充學校或系統通知,發動網絡釣魚攻擊誘使用戶點擊惡意連結或披露更多個人資料。
留意聲稱「Canvas 更新」電郵 避免點擊可疑連結
除個人資料外,平台內儲存的部分內部文件亦可能外洩,包括教學項目草稿、行政文件及內部溝通內容等。若相關資料被公開,或對院校運作及聲譽造成影響。
HKCERT建議使用Canvas的機構應即時檢視系統使用情況,包括評估儲存於平台的資料類型與數量,同時識別所有與該平台連接的系統或第三方服務,並考慮暫時中止相關連接,以降低風險。受影響機構亦需密切監察賬戶登入及資料存取情況,如發現異常活動,應即時跟進並檢視系統紀錄。
中心亦提醒院校應加強內部溝通,通知教職員及學生提高警覺,特別留意聲稱與「Canvas更新」或「PCPD調查」相關的電郵或訊息,避免點擊可疑連結,亦不應批准任何非本人發出的雙重認證(2FA)請求。
對於個別用戶(特別是教職員或學生),HKCERT建議避免開啟來歷不明的附件或連結,如在其他平台使用相同的密碼,應盡快更改,並持續留意賬戶是否出現異常活動。如懷疑資料被盜用,應盡早向所屬院校或相關機構通報。HKCERT稱網絡攻擊往往會在資料外洩後持續發酵,呼籲機構及用戶保持警覺,及早採取預防措施,以減低進一步損失的風險。
