跨國網上教學管理平台Canvas懷疑遭黑客組織「ShinyHunters」入侵,全球逾9,000間機構、約2.75億用戶資料外洩,被盜數據達3.65TB。Canvas平台遭入侵,本港至少五間院校已向個人資料私隱專員公署通報,包括理工大學、科技大學、演藝學院、建造學院及香港教育城。
即加入CFTime TG 討論區!想掌握最新加密市場動態與 AI 新聞與資訊,更能隨時獲得免費 web 3入場券!
香港網絡安全事故協調中心(HKCERT)主管李子圖及生產力局首席數碼總監黎少斌就事故會見傳媒,警告黑客已取得大量用戶姓名、電郵、學生編號及通訊記錄,後續的精準釣魚攻擊風險極高。
Canvas平台遭入侵 凸顯SaaS模式風險 黑客曾篡改登入頁面勒索
李子圖表示,Canvas屬於「軟體即服務」(SaaS)雲端平台,是許多學校日常教學的核心系統,包括課程內容、作業提交、師生通訊及測驗管理。他表示:「一旦平台受影響,全球所有使用該平台的機構都會同步受影響。這次事故源於第三方雲端服務的安全漏洞,是本港院校無可避免要面對的供應鏈風險。」
他透露,開發商Instructure於4月29日偵測到未經授權活動,其後黑客組織ShinyHunters公開聲稱取得數據,更曾篡改部分院校的Canvas登入頁面,直接勒索贖金。
專家:最大風險是後續釣魚攻擊
生產力局首席數碼總監黎少斌強調,最嚴重的並非資料被盜本身,而是後續攻擊:「黑客手上已有你的真實資料,可以製造出高度逼真的釣魚電郵或短訊,誘騙你點擊惡意連結或批准非由你發起的雙重驗證請求。」
他提醒,若院校因日常運作無法停用Canvas,師生進入任何連結前必須仔細核實網址是否與官方一致。
HKCERT籲停用平台監察異常 不建議設「白名單」
李子圖建議受影響機構暫時停止使用Canvas,檢視儲存資料類別,分離第三方整合服務,並密切監察帳戶異常登入。師生則應提防可疑電郵,切勿批准非自己發起的雙重驗證要求,如其他服務使用相同密碼應即時更改。
被問及會否設立「安全SaaS平台白名單」,李子圖明確表示暫無計劃:「系統不斷更新,今日安全的平台明日可能出現漏洞。白名單反而會令機構過分依賴,減低自身警覺性,這是很危險的副作用。」他建議院校應將安全要求寫入採購合約,要求供應商說明數據加密方式及事故通報機制。
中小學生風險更高 籲加強基礎安全意識
有記者關注中小學生警覺性較低,李子圖承認這是重點關注群組。他透露HKCERT過去幾年已透過互動工作坊、動畫及遊戲化方式向中小學生推廣辨識釣魚網站的基本技巧,呼籲家長及學校藉今次事件加強教育。
