網絡教育平台Canvas疑遭黑客組織入侵,被存取的資料可能包括用户姓名、電郵地址、學生編號以及用户間的通訊訊息,事件涉及全球多達2.75億名用户。香港網絡安全事故協調中心公佈,本港已有五間院校就資料懷疑外洩事件主動通報個人資料私隱專員公署,包括香港理工大學、香港建造學院、香港科技大學、香港演藝學院及香港教育城。
Canvas
軟體安全及漏洞研究員賴灼東表示,Canvas屬於雲端服務器,被黑客組織入侵的可能性包括服務器設定、其網站或應用程式存在漏洞,或者執行作業程式被遠端控制等。他警告,被盜取的師生資料可被用於製作釣魚網站或進行社交工程攻擊,例如偽裝成招生、手提電腦或旅行折扣、暑期工招募等電郵進行詐騙。若資料中涉及地址或電話號碼,更可能引發人身安全問題。此外,這些資料亦可用於偽造證件或辦理網上理財服務等不法用途。
資料圖片
賴灼東提醒受影響用户,應立即啟動雙重認證、更改密碼和重要資料,並密切留意賬户有無可疑活動。對於院校方面,他指很多時選擇平台較為被動,傾向揀選大牌子、多人用和功能好的服務。但他建議,院校應根據相關數字指引,主動向平台供應商查問清楚其安全措施,例如有否做好數據加密和備份,能否提供足夠的技術控制權限等,以加強資料保障。
