HKCERT

跨國網上教學管理平台Canvas懷疑遭黑客組織「ShinyHunters」入侵，全球逾9,000間機構、約2.75億用戶資料外洩，被盜數據達3.65TB。Canvas平台遭入侵，本港至少五間院校已向個人資料私隱專員公署通報，包括理工大學、科技大學、演藝學院、建造學院及香港教育城。 即加入CFTime TG 討論區！想掌握最新加密市場動態與 AI 新聞與資訊，更能隨時獲得免費 web 3入場券！ 香港網絡安全事故協調中心（HKCERT）主管李子圖及生產力局首席數碼總監黎少斌就事故會見傳媒，警告黑客已取得大量用戶姓名、電郵、學生編號及通訊記錄，後續的精準釣魚攻擊風險極高。 Canvas平台遭入侵 凸顯SaaS模式風險 黑客曾篡改登入頁面勒索 李子圖表示，Canvas屬於「軟體即服務」（SaaS）雲端平台，是許多學校日常教學的核心系統，包括課程內容、作業提交、師生通訊及測驗管理。他表示：「一旦平台受影響，全球所有使用該平台的機構都會同步受影響。這次事故源於第三方雲端服務的安全漏洞，是本港院校無可避免要面對的供應鏈風險。」 他透露，開發商Instructure於4月29日偵測到未經授權活動，其後黑客組織ShinyHunters公開聲稱取得數據，更曾篡改部分院校的Canvas登入頁面，直接勒索贖金。 專家：最大風險是後續釣魚攻擊 生產力局首席數碼總監黎少斌強調，最嚴重的並非資料被盜本身，而是後續攻擊：「黑客手上已有你的真實資料，可以製造出高度逼真的釣魚電郵或短訊，誘騙你點擊惡意連結或批准非由你發起的雙重驗證請求。」 他提醒，若院校因日常運作無法停用Canvas，師生進入任何連結前必須仔細核實網址是否與官方一致。 HKCERT籲停用平台監察異常 不建議設「白名單」 李子圖建議受影響機構暫時停止使用Canvas，檢視儲存資料類別，分離第三方整合服務，並密切監察帳戶異常登入。師生則應提防可疑電郵，切勿批准非自己發起的雙重驗證要求，如其他服務使用相同密碼應即時更改。 被問及會否設立「安全SaaS平台白名單」，李子圖明確表示暫無計劃：「系統不斷更新，今日安全的平台明日可能出現漏洞。白名單反而會令機構過分依賴，減低自身警覺性，這是很危險的副作用。」他建議院校應將安全要求寫入採購合約，要求供應商說明數據加密方式及事故通報機制。 中小學生風險更高 籲加強基礎安全意識 有記者關注中小學生警覺性較低，李子圖承認這是重點關注群組。他透露HKCERT過去幾年已透過互動工作坊、動畫及遊戲化方式向中小學生推廣辨識釣魚網站的基本技巧，呼籲家長及學校藉今次事件加強教育。