Canvas遭入侵｜本港至少5院校受影響　逾4萬師生資料或外洩

跨國網上教學管理平台 Canvas 上月遭黑客入侵，香港網絡安全事故協調中心（HKCERT）召開記者會，公布本港至少 5 間教育機構受影響，逾 4 萬師生資料疑外洩。

曾篡改登入頁面意圖直接勒索

Canvas 母公司 Instructure 於 4 月底遭黑客組織 ShinyHunters 利用「Free-for-Teacher」服務漏洞入侵，竊取全球 8,809 間教育機構逾 2.75 億用戶資料，總量達 3.65TB。被盜資料包括姓名、電郵地址、學生編號及用戶間通訊訊息，但暫無證據顯示密碼、身份證明或財務資料外洩。

ShinyHunters 甚至曾篡改部分院校的 Canvas 登入頁面，意圖直接勒索院校；另外，網上流傳受影響學校名單，本港亦有多間院校榜上有名。

理大科大同上榜

香港網絡安全事故協調中心公布，香港個人資料私隱專員公署接獲本港 5 間教育機構通報資料外洩事故，包括理大、科大、香港建造學院、香港演藝學院及香港教育城，合計逾 4 萬多名師生資料外洩，機構已主動通報私隱公署。

得悉事故後，HKCERT 已主動通報有機會受影響的本港院校採取緊急措施，包括監察帳戶有否異常活動，加強系統網絡保安，又提醒受影響機構暫時停止使用平台，而教職員及學生亦應提高警覺，留意可疑的釣魚電郵 。

HKCERT 又提醒，黑客入侵系統後未必馬上有行動，生產力局首席數碼總監黎少斌指，收到任何 Canvas 的電郵都要「睇真啲」，「究竟係咪釣魚網站，如有任何懷疑，最好係同院校確認返電郵係咪真確，係咪有要求登入系統處理。」此舉能減低黑客發動社交工程攻擊的影響。

此外，HKCERT 已啟用人工智能工具，主動掃瞄並移除針對 Canvas 的可疑網站。由於事故涉及第三方供應商網絡服務，中心提醒招標服務時，重點考慮網絡安全。