Canvas遭黑客入侵 累城大藝術學院近3萬學生被洩密
香港文匯報訊(記者 張茗)跨國網上教學管理平台Canvas近日遭黑客組織入侵,全球約2.75億用戶資料外洩,影響遍及全球逾9,000間機構,總量達3.65TB。香港個人資料私隱專員公署昨日表示,除早前公布的香港理工大學、香港建造學院、香港教育城有限公司、香港科技大學及香港演藝學院5間機構外,再接獲兩間香港教育機構通報受事故影響,分別是香港城市大學,初步顯示受影響人數約2.8萬名學生,可能涉及的個人資料包括姓名、電郵地址、課程名稱、報讀課程資訊,以及系統內的訊息;香港藝術學院也初步顯示約71名學生受影響,可能涉及的個人資料包括姓名及電郵地址。
由生產力促進局管理的香港網絡安全事故協調中心昨日舉辦簡介會,指中心已提醒有機會受影響的香港院校採取緊急措施,包括暫停使用平台、監察賬戶異常活動及加強網絡保安。中心會與數字辦保持緊密聯繫,並按風險及實際需要制定對策和應對方案。
全球逾2億Canvas用戶中招
Canvas由美國公司Instructure開發,廣泛用於處理課程內容、作業提交及批改、成績記錄及師生通訊等。開發商於4月29日偵測到系統異常,一度暫停服務進行調查,其後黑客組織聲稱已盜取全球近9,000所院校、超過2億用戶的數據,並勒索金錢。至5月6日,開發商表示系統雖已修復並恢復正常,但黑客在5月7日及8日再次篡改部分院校的Canvas登入頁面,意圖直接勒索院校。
是次外洩資料多達3.65TB,內容可能包括用戶姓名、電郵地址、學生編號,以及用戶之間的通訊訊息。香港網絡安全事故協調中心分析,系統存在保安漏洞,黑客入侵後能存取整個數據庫。中心在得悉事故後,已主動通報本港有機會受影響的院校,並建議採取緊急措施,包括監察賬戶有否異常活動,以及加強系統網絡保安。
提醒師生小心後續釣魚攻擊
中心指,為盡量降低對用戶的影響,已啟用人工智能工具主動掃描並移除針對Canvas的可疑網站,亦提醒師生小心黑客後續釣魚攻擊,惟防範難有「滴水不漏」的解決方案,呼籲院校應制定應對第三方網絡風險的措施。
生產力局首席數碼總監黎少斌指,該系統廣泛處理功課與成績等重要資料,一旦被駭將嚴重干擾學校運作。
他表示採用第三方平台的用家在保安上較為被動,憂慮師生資料外洩會引發後續詐騙,建議學生應提防聲稱與Canvas、學校或調查有關的可疑通訊訊息、不要點擊可疑連結或開啟來歷不明附件及留意賬戶是否有異常活動等。
黎少斌又說,中心目前正運用人工智能搜查針對該平台的釣魚網站。至於會否設立安全「白名單」,他表明暫無計劃,解釋系統更新頻繁會令名單難以跟上進度,亦擔心機構會過度依賴,未來將探討以其他形式提供安全指引。
香港網絡安全事故協調中心主管李子圖建議,院校日後選擇第三方平台時,應挑選口碑良好、有信譽,並具備相關網絡安全認證的服務供應商;運行關鍵數據則要進行加密並盡量本地儲存,降低洩露風險。
