網絡教育平台Canvas疑遭黑客組織入侵,被存取的資料可能包括用户姓名、電郵地址、學生編號以及用户間的通訊訊息,事件涉及全球多達2.75億名用户。香港網絡安全事故協調中心公佈,本港已有五間院校就資料懷疑外洩事件主動通報個人資料私隱專員公署,包括香港理工大學、香港建造學院、香港科技大學、香港演藝學院及香港教育城。
Canvas
軟體安全及漏洞研究員賴灼東表示,Canvas屬於雲端服務器,被黑客組織入侵的可能性包括服務器設定、其網站或應用程式存在漏洞,或者執行作業程式被遠端控制等。他警告,被盜取的師生資料可被用於製作釣魚網站或進行社交工程攻擊,例如偽裝成招生、手提電腦或旅行折扣、暑期工招募等電郵進行詐騙。若資料中涉及地址或電話號碼,更可能引發人身安全問題。此外,這些資料亦可用於偽造證件或辦理網上理財服務等不法用途。
資料圖片
賴灼東提醒受影響用户,應立即啟動雙重認證、更改密碼和重要資料,並密切留意賬户有無可疑活動。對於院校方面,他指很多時選擇平台較為被動,傾向揀選大牌子、多人用和功能好的服務。但他建議,院校應根據相關數字指引,主動向平台供應商查問清楚其安全措施,例如有否做好數據加密和備份,能否提供足夠的技術控制權限等,以加強資料保障。
網絡教育平台Canvas近日遭黑客組織入侵,引發網絡安全關注。警方網絡安全及科技罪案調查科表示,暫時共接獲兩宗與此事件相關的求助個案。
Canvas
網絡安全及科技罪案調查科總警司林焯豪指出,其中一宗個案涉及本地一間教育機構,該機構表示未能登入Canvas平台,並發現平台可能遭受網絡攻擊,因而向警方求助。
另一宗個案則有市民在使用電腦時,發現有通知聲稱Canvas系統出現漏洞需要修復,並出現技術支援版面,要求當事人致電求助以解決問題。林焯豪強調,這實際上是騙徒或黑客利用網絡安全事故為藉口,企圖誘騙市民點擊超連結或撥打電話進行下一步詐騙。該案件中,市民並無受騙亦無損失,只是向警方提供資料以便追查。
網絡安全及科技罪案調查科總警司林焯豪。資料圖片
林焯豪表示,由於事件涉及的系統和數據都儲存在香港以外的地方,本港警方在介入調查時會面對挑戰。警方將透過國際刑警的平台與其他國家就案件進行交流,盡力瞭解情況,同時會向市民提供安全建議。
他提醒,任何網上雲端平台都存在風險,一旦被發現漏洞將可能造成嚴重問題。呼籲市民在選擇工具時,要留意網絡安全,使用時應特別關注相關平台的網絡安全可靠度,並採取防禦措施。例如,應用時應考慮是否將個人資料放在平台,如果不放進雲端平台,是否可以進行本地備份。同時,亦應思考當有關平台未能提供服務時,是否有其他配套方式幫助日常的工作得以繼續。
林焯豪最後提醒市民,在網上接觸任何資訊時要保持清醒,持「零信任」態度,每次都要做好事實查證,以防範網絡詐騙。
