網上學習管理系統遭入侵致全球2.75億用戶資料外洩 HKCERT籲本地院校即時檢視系統安全以防範跟進攻擊

(圖片由生成式AI創建，並經人類專業監督及審核。)

跨國網上教學管理平台 Canvas 近日報稱遭黑客組織入侵。該組織聲言已透過平台非法存取全球多間學校的用戶資料，並試圖勒索金錢。由於本港亦有多間院校使用該網上系統，香港網絡安全事故協調中心(HKCERT) 獲悉事故發生後，已立即主動通報有機會受影響的本港院校，提防網絡釣魚攻擊和加強監察系統異常。目前為止，本地已有七間院校就資料懷疑外洩一事主動通報個人資料私隱專員公署，影響範圍仍有待調查。

根據 Canvas 開發商 Instructure 的聲明，事涉資料或包括用戶姓名、電郵地址、學生編號，以及用戶之間的通訊訊息，資料總量逹 3.65 TB，涉及全球 2.75 億名用戶。該開發商亦指出，密碼、出生日期、身份證明號碼、網上交易資料等較敏感資料則暫時未見涉及。已知受影響的本地院校包括香港理工大學、香港建造學院、香港科技大學、香港演藝學院、香港教育城、香港城市大學及香港藝術學院。黑客可藉盜獲的資料犯案，例如製作高度逼真的詐騙電郵、冒充他人身份，進而針對受影響機構的用戶發動網絡釣魚攻擊。

HKCERT 建議受影響機構和人士採取以下預防措施：

如你是受影響機構：

• 檢視目前使用該平台的情況，例如儲存資料的類別、數量等，以評估受影響的程度
• 識別任何已連接該平台的系統或第三方整合服務，並將其暫時分離。
• 監察帳戶及系統是否出現異常登入行為、可疑存取或不尋常的資料存取模式，並檢視系統記錄及稽核紀錄，以找出任何入侵或未經授權存取的跡象。
• 提醒教職員及學生提高警覺，留意可能利用外洩聯絡資料發動的釣魚電郵或社交工程攻擊，尤其是警惕任何提及「Canvas 更新」或「PCPD 調查」等可疑電郵，並切勿批准任何非本人發起的雙重驗證（2FA）請求。
• 提醒教職員及學生，切勿於任何網上平台上發布任何敏感資訊，或與專案相關的內部內容
• 如懷疑涉及個人資料外洩，應立時向個人資料私隱專員公署及受影響人士作出通報
• 建議再次檢視 Canvas 的使用風險，並採取適當措施以減低風險。
• 密切留意有關 Canvas 事件的最新公佈及後續更新，詳情可瀏覽：https://www.instructure.com/incident_update

如你是受影響人士，特別是教職員或學生：

• 提防聲稱與 Canvas、學校或調查有關的可疑電郵、訊息或來電
• 不要點擊可疑連結或開啟來歷不明的附件
• 切勿批准任何並非由你發出的 MFA／雙重認證要求
• 作為預防措施，如在其他服務上使用與該平台的相同密碼，應立即更改該密碼
• 留意帳戶有否異常活動，並盡快向所屬院校或機構報告可疑情況
   

企業或公眾如欲向 HKCERT 報告與資訊保安相關的事故，例如惡意程式、網絡釣魚、阻斷服務攻擊等，可以填寫網上表格：https://www.hkcert.org/zh/incident-reporting 或致電 24 小時熱線：（852）8105 6060。如有其他疑問，歡迎電郵至 [email protected] 與 HKCERT 聯絡。