Canvas遭黑客入侵,香港網絡安全事故協調中心籲本地院校檢視系統安全(陳芷晴攝)
跨國網上教學管理平台Canvas遭黑客入侵,致全球2.75億用戶資料外洩。香港網絡安全事故協調中心建議受影響機構暫時停用該平台,教職員及學生應留意以外洩資料發動的釣魚電郵或社交工程攻擊。
香港網絡安全事故協調中心今日召開記者會,分析Canvas這類網上教學管理平台擁有大批用戶及個人資料,成為高價值的攻擊目標。Canvas中的「free for teachers」功能有漏洞,令黑客入侵後能存取整個數據庫。
Canvas開發商Instructure於5月1日承認遭受網絡攻擊,黑客組織ShinyHunters表示已盜取全球接近9,000間院校超過2億數據並就此勒索。Instructure在5月6日表示已修復系統,服務回復正常。不過,ShinyHunters在5月7至8日篡改部分院校的Canvas登入頁面,意圖直接勒索院校。
涉及本港5間教育機構
香港個人資料私隱專員公署接獲本港5間教育機構通報資料外洩事故,包括理工大學、建造學院、科技大學、演藝學院,及香港教育城。根據Canvas 開發商所指,涉及資料或包括用戶姓名、電郵地址、學生編號,以及用戶之間的通訊訊息,資料總量達3.65TB。開發商指出暫時未見涉及用戶密碼、出生日期、身份證號碼、網上交易資料等較敏感的資料。
城大約2.8萬學生資料外洩
另外,私隱專員公署於5月10日及5月11日再接獲兩間教育機構就相關事件的資料外洩事故通報,包括香港藝術學院,約71名學生受影響,可能涉及姓名及電郵地址;以及香港城市大學,初步顯示受影響學生約28,000名,涉姓名、電郵地址、課程名稱、報讀課程資訊(包括用戶名稱及學生編號),以及系統內的訊息。
香港網絡安全事故協調中心指出黑客或藉盜取的資料犯案,例如製作高度逼真的詐騙電郵、冒充他人身份,進而針對受影響機構的用戶發動網絡釣魚攻擊。中心提醒受影響人士,特別是教職員或學生提防聲稱與Canvas、學校或調查有關的可疑電郵、訊息或來電;不要點擊可疑連結或開啟來歷不明的附件。作為預防措施,如在其他服務使用與該平台相同的密碼,應立即更改密碼。
被問到會否提供「白名單」予機構參考,生產力局首席數碼總監黎少斌表示任何一個白名單都並非絕對,因為系統會不停更新,「今日係白名單,聽日未必係」。生產力局會再研究其他方法,予機構參考在某階段相對安全的軟件。
ADVERTISEMENT
【👇送3M靜電空氣濾網體驗包4包👇】
