教育線上/網安中心提醒院校 防範黑客釣魚攻擊
【大公報訊】記者游茜茵報道:香港網絡安全事故協調中心昨日通報美國開發的網上學習管理系統Canvas遭黑客入侵事件。本次事件涉及全球約2.75億名用戶,香港理工大學、香港科技大學、香港建造學院、香港演藝學院及香港教育城等五間本地教育機構確認受影響。當局已即時通知受影響院校,並提醒加強賬戶監察及防範釣魚攻擊。
香港生產力促進局首席數碼總監黎少斌與香港網絡安全事故協調中心(HKCERT)主管李子圖表示,事發後已主動通知本地院校,要求加強監察系統異常情況及防範釣魚攻擊風險。
Canvas平台由美國Instructure公司開發,主要供大專院校用作課程管理、師生互動及評分,已成為教學運作的核心系統。根據開發商聲明,此次外洩的資料可能包括用戶姓名、電郵地址、學生編號及用戶間通訊訊息,總量達3.65TB。幸而,密碼、出生日期、身份證明號碼及網上交易資料等敏感內容暫未涉及。
然而,已洩露的資料足以令黑客製作更具迷惑性的釣魚電郵,冒充院校、教師或平台進行詐騙。若內部行政文件及專案資料亦被披露,將進一步損害機構運作。
本地院校需檢視平台上儲存的資料類別及數量,並監察系統是否出現異常登入、可疑存取或不尋常的資料讀取模式。教職員及學生應警惕提及「Canvas更新」或相關調查的可疑電郵,切勿批准非本人發出的多因素驗證要求,亦不應在網上公開敏感資訊。
雲端安全風險已波及教育界
李子圖呼籲,若懷疑個人資料外洩,機構應盡快向私隱專員公署及受影響人士通報。一般用戶若曾在其他服務使用相同密碼,應立即更改。
黎少斌指出,事件深刻反映第三方雲端服務平台(SaaS)的安全風險已足以波及教育界。Canvas作為院校日常教學流程的重要組成部分,一旦發生事故便影響學校整體運作。院校不應只依賴供應商的保安措施,還須及早建立應變機制,防止資料外洩演變成進一步的詐騙與入侵。
局方強調,院校可視乎實際使用情況及儲存資料類別進行評估,必要時將已連接該平台的系統或第三方整合服務暫時分離,以降低風險。相關事件仍在持續跟進中。
