學習管理系統Canvas懷疑遭受大規模網絡攻擊,全球約9000間院校受到影響,包括美國哈佛大學及史丹福大學。香港私隱專員公署亦接獲本港5間教育機構的通報,指其使用的Canvas系統遭黑客入侵,導致資料外洩。
Canvas
據指,事故涉及香港理工大學、香港建造學院、香港科技大學、香港演藝學院及香港教育城有限公司。當中香港理工大學初步有約42000名學生及員工受影響,香港建造學院則有約2500名學生及員工受影響。香港教育城有限公司、香港科技大學及香港演藝學院的受影響人數未確定,而科大可能涉及姓名、電郵地址、賬戶資料及學歷資料;演藝學院初步顯示可能涉及的個人資料姓名、電郵地址、學生編號及成績。
Canvas系統主要用於管理學生成績、課程筆記、作業及講座影片等內容。美國哈佛大學學生報報道指,有學生在當地星期四試圖登入系統時,竟收到黑客組織的訊息。訊息稱,Canvas的母公司伺服器再次遭到入侵,而Canvas方面並未與黑客聯繫,只是選擇無視並僅修補部分安全問題。
哈佛大學。AP資料圖片
黑客在訊息中建議受影響的學校,如有意阻止數據進一步外洩,應諮詢網絡安全公司並私下聯繫他們以協商解決方案。黑客更發出警告,指如果有關學校在下周二前仍不與他們聯繫,所有被盜的數據將會被公開。
Canvas疑遭大規模攻擊。AP圖片
有網絡安全公司的分析師引述該黑客組織在網上的言論,指今次事件涉及規模龐大,牽涉數十億條私人訊息和其他記錄。事件引發學生憂慮,有學生關注其他同學是否也無法使用系統,並對可能無法查看平台上的課程資料來準備即將到來的考試,感到恐慌。
香港方面,私隱專員公署接獲的通報涉及本地5間教育機構,初步資料顯示,事件可能導致至少4.45萬名學生及員工的個人資料受到影響。
私隱專員公署
全國多間學校及大學正從Canvas平台服務中斷中恢復過來。Canvas是一個管理考試、課程筆記、教學影片及成績的網上平台。這次因網絡攻擊導致的服務中斷,正值許多大學的期末考試期間,對學生和導師而言,這是一個高度緊張且極度依賴該平台的時期。
Canvas的母公司Instructure表示,截至周四傍晚,該平台已恢復供大部分用戶使用。
檔案圖片顯示,2024年1月2日,人們在麻省劍橋哈佛大學校園內,約翰哈佛雕像(左)附近拍照。(美聯社圖片/Steven Senne) AP圖片
網絡安全公司Emsisoft的威脅分析師盧克康諾利指出,黑客組織ShinyHunters聲稱對是次入侵負責。周五,Instructure及Canvas已不再出現於ShinyHunters列出其攻擊目標的網站上。
然而,部分學校基於謹慎起見,在評估安全威脅期間,繼續阻止學生和教師登入Canvas。
學校及大學利用Canvas管理教學的幾乎所有環節。該平台充當成績冊、數碼講義及課程資料的中心、課堂項目的討論區,以及學生與導師之間的通訊平台。
部分課程亦會透過該平台進行小測及考試,或將其用作提交期末專題及論文的入口。
康諾利表示,ShinyHunters是一個由美國及英國青少年和年輕黑客組成的鬆散組織,曾涉及其他大規模網絡攻擊,包括針對Ticketmaster的攻擊。在其列出攻擊目標的頁面上,該組織自稱「自19年起入侵你的系統」,其中「rooting」一詞意指存取電腦系統的最深層。
本周較早前,ShinyHunters曾表示,若學校未能在5月6日限期前支付贖金,近9,000間學校及2.75億名個人資料恐會洩漏。該組織隨後延長了限期,顯示部分學校已與其展開談判。
學校及大學擁有大量學生、教師及僱員的個人身份資料,因此成為勒索軟件攻擊中犯罪黑客的主要目標。受害者可以是個別學區,例如明尼阿波利斯公立學校或洛杉磯聯合學區,亦可以是教育系統日益依賴的外部供應商平台,如Canvas或PowerSchool,這些平台用於管理時間表、課程及考試。
儘管大部分學校似乎已恢復Canvas的存取權限,但期末考試期間的混亂預計將持續整個星期。
麻省大學達特茅斯分校表示,將延遲原定於周五及周六舉行的考試,以確保學生有時間溫習在服務中斷期間無法存取的課程資料。
伊利諾伊大學則將所有原定於周五、周六或周日舉行的考試全部延遲,不論課程是否使用Canvas平台。
而馬里蘭州的蒙哥馬利縣公立學校周五繼續限制Canvas的存取,理由是「在我們努力更全面了解事件的全部影響以及任何涉及平台相關資訊的潛在漏洞」期間,採取謹慎態度。
(美聯社)
