全球廣泛使用的線上學習平台 Canvas 遭受嚴重網絡攻擊。黑客組織 ShinyHunters 宣稱已入侵 Canvas 母公司 Instructure,竊取約 2.75 億用戶個人資料,包括姓名、電郵、學生證號及訊息。平台因此短暫關閉,多所大學正值期末考期間,師生大受影響。香港私隱公署已接獲 5 間教育機構通報資料外洩,涉及理大、科大等,初步估計數萬人受影響。事件引發教育界對網絡安全的高度關注。
Canvas 由 Instructure 開發,是全球逾 8,000 所院校使用的學習管理系統。ShinyHunters 在 5 月 3 日時宣稱已入侵該平台。日前多名用戶登入時發現 ShinyHunters 勒索訊息,威脅院校 5 月 12 日前未達成和解即公開資料,導致平台緊急維護。美國多間頂尖大學如 Harvard、Columbia 等受波及,師生在期末考季無法存取課程及作業。
Instructure 回應已撤銷憑證並調查,強調無證據顯示密碼或財務資料外洩,但姓名、電郵、學生編號及私人訊息可能受影響。平台已逐步恢復,但部分功能仍受限。
ShinyHunters 為知名勒索軟體團體,此前已多次發動類似攻擊。他們聲稱影響近 9,000 所全球院校,並已取得數十億筆記錄。專家指出,此次攻擊凸顯教育機構對雲端平台的過度依賴,尤其在期末考季造成最大破壞。
事件發生後,多間學校呼籲師生更改密碼、啟用多重驗證(MFA),並警惕釣魚攻擊。網絡安全專家提醒,用戶應保持警惕,避免點擊可疑連結。Instructure 正與執法機關合作,預計將有進一步調查結果公布。
香港 5 間教育機構通報資料外洩
香港私隱專員公署截至 5 月 8 日下午 6 時,接獲 5 間教育機構資料外洩通報,均涉及使用 Canvas 遭黑客入侵。受影響機構包括香港理工大學(約 42,000 名學生及員工)、香港建造學院(約 2,500 名學生及員工)、香港科技大學、香港演藝學院及香港教育城有限公司。
初步涉及資料包括姓名及電郵地址。香港科技大學可能另涉帳戶及學歷資料;香港演藝學院則可能包括學生編號及成績。公署已按機制展開調查。各機構正通知受影響人士,並呼籲更改密碼及啟用多重驗證。
方保僑:更改密碼、雙重認證提升保障
香港資訊科技商會榮譽會長方保僑回應 Canvas 洩漏事件,指出教育機構即使核心系統未必失守,第三方平台一旦出事,學生及教職員資料一樣可能外洩。今次涉及姓名、電郵同學生編號,雖然未必屬於最高度敏感資料,但足以被用於作釣魚、冒名登入同詐騙,風險絕不可以低估。
事件值得大眾關注,因為 Canvas 是一個國際知名的學習管理平台,所以本港受影響的教育機構及人數可能會持續上升。而本地教育機構在 SSO 整合同資料管理是否有漏洞,亦反映機構對外判服務嘅監察要更嚴緊。對受影響人士來說,最實際做法要立即改密碼、開啟雙重認證、留意可疑電郵及登入通知,亦不要隨便點擊任何聲稱來自學校或 Canvas 的連結。教育機構之後亦應向公眾交代影響範圍、補救措施同後續保安安排,減低二次風險。
方保僑亦建議,現時教育機構可以利用其他系統作為登入,例如政府的智方便,可以供11歲以上人士採用( 需要持有有效香港智能身份證)。
