學習管理系統Canvas疑遭大規模攻擊　全球9000院校中招據報包括科大理大等5香港教育機構

學習管理系統Canvas懷疑遭受大規模網絡攻擊，全球約9000間院校受到影響，包括美國哈佛大學及史丹福大學。香港私隱專員公署亦接獲本港5間教育機構的通報，指其使用的Canvas系統遭黑客入侵，導致資料外洩。

Canvas

據指，事故涉及香港理工大學、香港建造學院、香港科技大學、香港演藝學院及香港教育城有限公司。當中香港理工大學初步有約42000名學生及員工受影響，香港建造學院則有約2500名學生及員工受影響。香港教育城有限公司、香港科技大學及香港演藝學院的受影響人數未確定，而科大可能涉及姓名、電郵地址、賬戶資料及學歷資料；演藝學院初步顯示可能涉及的個人資料姓名、電郵地址、學生編號及成績。

Canvas系統主要用於管理學生成績、課程筆記、作業及講座影片等內容。美國哈佛大學學生報報道指，有學生在當地星期四試圖登入系統時，竟收到黑客組織的訊息。訊息稱，Canvas的母公司伺服器再次遭到入侵，而Canvas方面並未與黑客聯繫，只是選擇無視並僅修補部分安全問題。

哈佛大學。AP資料圖片

黑客在訊息中建議受影響的學校，如有意阻止數據進一步外洩，應諮詢網絡安全公司並私下聯繫他們以協商解決方案。黑客更發出警告，指如果有關學校在下周二前仍不與他們聯繫，所有被盜的數據將會被公開。

Canvas疑遭大規模攻擊。AP圖片

有網絡安全公司的分析師引述該黑客組織在網上的言論，指今次事件涉及規模龐大，牽涉數十億條私人訊息和其他記錄。事件引發學生憂慮，有學生關注其他同學是否也無法使用系統，並對可能無法查看平台上的課程資料來準備即將到來的考試，感到恐慌。

香港方面，私隱專員公署接獲的通報涉及本地5間教育機構，初步資料顯示，事件可能導致至少4.45萬名學生及員工的個人資料受到影響。

私隱專員公署

網絡教育平台Canvas疑遭黑客組織入侵，被存取的資料可能包括用户姓名、電郵地址、學生編號以及用户間的通訊訊息，事件涉及全球多達2.75億名用户。香港網絡安全事故協調中心公佈，本港已有五間院校就資料懷疑外洩事件主動通報個人資料私隱專員公署，包括香港理工大學、香港建造學院、香港科技大學、香港演藝學院及香港教育城。

Canvas

軟體安全及漏洞研究員賴灼東表示，Canvas屬於雲端服務器，被黑客組織入侵的可能性包括服務器設定、其網站或應用程式存在漏洞，或者執行作業程式被遠端控制等。他警告，被盜取的師生資料可被用於製作釣魚網站或進行社交工程攻擊，例如偽裝成招生、手提電腦或旅行折扣、暑期工招募等電郵進行詐騙。若資料中涉及地址或電話號碼，更可能引發人身安全問題。此外，這些資料亦可用於偽造證件或辦理網上理財服務等不法用途。

資料圖片

賴灼東提醒受影響用户，應立即啟動雙重認證、更改密碼和重要資料，並密切留意賬户有無可疑活動。對於院校方面，他指很多時選擇平台較為被動，傾向揀選大牌子、多人用和功能好的服務。但他建議，院校應根據相關數字指引，主動向平台供應商查問清楚其安全措施，例如有否做好數據加密和備份，能否提供足夠的技術控制權限等，以加強資料保障。