香港網絡安全事故協調中心(HKCERT)就網上教學管理平台Canvas遭黑客組織ShinyHunters入侵事件召開傳媒簡報會,生產力局首席數碼總監黎少斌及HKCERT主管李子圖講解事件經過、香港院校受影響情況及防範建議,提醒公眾即使平台服務已恢復,相關網絡攻擊風險並未完全解除。
就網上教學管理平台Canvas遭黑客組織ShinyHunters入侵事件,香港網絡安全事故協調中心(HKCERT) 召開傳媒簡報會。巴士的報記者攝
今次事件涉及 Canvas 開發商 Instructure 旗下雲端系統遭未經授權存取,黑客組織聲稱取得全球逾2.75億名用戶資料,總數據量達3.65TB。Instructure確認外洩資料或包括用戶姓名、電郵地址、學生編號及用戶間通訊信息,而密碼、財務資料等較敏感資料暫未見涉及。本港已有5間院校就事件向個人資料私隱專員公署作出通報,包括香港理工大學、香港科技大學、香港建造學院、香港演藝學院及香港教育城。
點擊看圖輯
就網上教學管理平台Canvas遭黑客組織ShinyHunters入侵事件,香港網絡安全事故協調中心(HKCERT) 召開傳媒簡報會。巴士的報記者攝
生產力局首席數碼總監黎少斌(左)、HKCERT主管李子圖(右)講解Canvas遭黑客入侵事件經過。巴士的報記者攝
當局講解Canvas遭黑客入侵事件經過。巴士的報記者攝
當局講解Canvas遭黑客入侵事件經過。巴士的報記者攝
HKCERT主管李子圖。巴士的報記者攝
生產力局首席數碼總監黎少斌(左)、HKCERT主管李子圖(右)講解Canvas遭黑客入侵事件經過。巴士的報記者攝
生產力局首席數碼總監黎少斌(左)、HKCERT主管李子圖(右)講解Canvas遭黑客入侵事件經過。巴士的報記者攝
黎少斌指出,今次事故的核心風險在於第三方雲端服務(SaaS)的管理漏洞,並非個別院校自身系統出現問題。他表示:「Canvas 是一個非常廣泛應用於學校及教育機構的網上學校管理系統……由於它並非一般資訊網站,而是院校日常教學流程的一部分,一旦出現事故,便會影響學校的整體運作。」
當局講解Canvas遭黑客入侵事件經過。巴士的報記者攝
黎少斌又說,機構選用SaaS平台時必須將網絡安全要求列為採購條件,並特別關注數據加密安排,「難以確保任何系統完全無法被攻入,但若數據本身已有適當加密,即使平台遭入侵,黑客所取得的亦是無法解密的數據,可大幅降低對公眾的影響。」
當局講解Canvas遭黑客入侵事件經過。巴士的報記者攝
李子圖回應傳媒提問時指出,目前Canvas平台服務雖已恢復正常,但受影響的院校師生及用戶並不能視之為已完全安全,強調目前無人能肯定系統是完全安全,並提醒相關用戶,若收到任何要求登入Canvas的電郵或信息,必須額外核實連結真偽,學生應直接向所屬學校確認電郵是否真實,切勿貿然點擊。
HKCERT主管李子圖。巴士的報記者攝
值得注意的是,本次攻擊的入口並非Canvas核心系統,而是一個名為「Free-For-Teacher」的帳戶支援功能存在漏洞。黎少斌指出,這反映即使是平台中看似次要的功能介面,若缺乏應用安全(Application Security)保障,同樣可成為攻擊切入點。他表示:「不少平台某些特定功能或支援流程,往往欠缺應用安全方面的考量,因而成為攻擊者的突破口。」
HKCERT提醒,受影響機構應暫時停用該平台,檢視儲存於系統的資料類別及數量,並監察賬戶有否異常登入行為。教職員及學生則應提防以「Canvas更新」或「PCPD調查」為名的可疑電郵,切勿批准任何非本人發起的雙重驗證(2FA)請求。如懷疑個人資料外洩,應向所屬院校及個人資料私隱專員公署舉報。
生產力局首席數碼總監黎少斌(左)、HKCERT主管李子圖(右)講解Canvas遭黑客入侵事件經過。巴士的報記者攝
