服務全球多間學校的教學管理平台Canvas日前傳出遭黑客入侵。由生產力局管理的香港網絡安全事故協調中心今日(11日)舉行記者會表示,早前主動聯絡本港受影響的院校,提醒他們防範潛在的釣魚及冒充攻擊。目前本港至少5間教育機構受影響,包括理大、科大、演藝學院、建造學院及香港教育城。

生產力局首席數碼總監黎少斌指,Canvas是一個非常廣泛應用在學校和教育機構的網上學習管理系統(LMS),負責處理課程內容、提交及批改功課、記錄成績、師生通訊等,一旦出現事故,不單是技術層面出現問題,而是會影響學校運作。

黎少斌指,平台包含師生的個人資料,此次事件或涉及師生個人資料和電郵等,擔心後續會出現釣魚或冒充的攻擊。中心呼籲受影響機構暫時停止使用該平台,檢視目前使用該平台的情況,例如儲存資料的類別、數量等,以評估受影響的程度。又建議籲受影響機構識別任何已連接該平台的系統,或第三方整合服務,並將其暫時分離。監察帳戶及系統是否出現異常登入行為、可疑未取或不尋常的資料存取模式,並檢視系統記錄及稽核紀錄,找出任何入侵或未經授權存取的跡象。

教職員或學生要提防聲稱與Canvas、學校或追查有關的可疑電郵、訊息或來電,不要點擊可疑連結或開啟來歷不明的附件。如在其它服務上使用與該平台相同的密碼,應立即更改該密碼,作為預防措施。

中心亦正使用人工智能(AI)掃描針對Canvas的釣魚網站。

被問到中心會否制定「白名單」供學校參考,黎少斌回應指,目前未有計劃,他解釋,何一個白名單均非絕對的白名單,由於有關系統會不斷更新,每一次更新後須再作檢視,因此白名單未必能即時更新,亦擔心機構會過份依賴白名單。他指,會再考慮白名單以外的方式,向機構提供一些相對安全的使用建議。

Canvas日前遭到大規模網絡攻擊,除了本港多間院校,亦包含美國哈佛大學、史丹佛在內,全球約有9,000間教育機構受影響。根據Canvas母公司Instructure的聲明,涉事資料或包括用戶姓名、電郵地址、學生編號,用戶之間的通訊訊息,資料總量達3.65TB,涉及全球2.75億名用戶。至於密碼、出生日期、身份證號碼、網上交易資料等較敏感資料,開發商指暫時未見涉及。

根據私隱專員公署公布,截至上周五(8日)下午6時,共接獲本港5間教育機構的資料外洩事故通報,稱其使用Canvas遭黑客入侵,初步涉及姓名和電郵地址等個人資料。理大初步有約4.2萬名學生及員工受影響,香港建造學院則有約2,500名學生及員工受影響。香港教育城有限公司、香港科技大學及香港演藝學院的受影響人數尚未確定。

另外,此次黑客攻擊亦影響投考CFA的考生。CFA協會早前向考生發電郵指,已暫時關閉Canvas的存取權限,Instructure尚未公布恢復的時間。協會亦提醒,事件可能洩漏使用者資料,包括姓名和電子郵件地址,因此建議使用者警惕釣魚郵件與簡訊,並更改與CFA協會系統所用電箱的關聯密碼。

有網上消息指,Canvas供應商Instructure早在4月就曾遭勒索軟件ShinyHunters外洩資料,雖然很快就回復營運,但是上周四(7日)再度遭ShinyHunters入侵。

ShinyHunters早前宣稱,它利用Canvas資料匯出機制,包括DAP查詢、報表與使用者API等方式,取得Instructure約2.75億筆資料,包括姓名、電子郵件、學生ID等個資,以及師生間、學生間不公開對話訊息數十億筆。這些資料總量達3.65TB。@

-------------------
局勢持續演變
與您見證世界格局重塑
-------------------

🔔下載大紀元App 接收即時新聞通知:
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand

📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores