Canvas被入侵｜港5院校中招 HKCERT向受影響機構及人士提12大建議

跨國網上教學管理平台Canvas，近日報稱遭黑客組織ShinyHunters攻擊入侵。該組織聲言已透過平台非法存取全球多間學校的用戶資料，並試圖勒索金錢。Canvas被入侵｜香港受害教育機構或會增加　專家：留意SSO 整合與外判監管漏洞AI人才｜科技人才難請又難留？　企業領袖：AI 技能價值已超越學歷香港網絡安全事故協調中心(HKCERT) 表示，由於本港有多間院校使用該網上系統，獲悉事故發生後，已立即主動通報有機會受影響的本港院校，提防網絡釣魚攻擊和加強監察系統異常。目前為止，本地已有五間院校就資料懷疑外洩一事主動通報個人資料私隱專員公署，影響範圍仍有待調查。HKCERT指，根據 Canvas 開發商Instructure 的聲明，事涉資料或包括用戶姓名、電郵地址、學生編號，以及用戶之間的通訊訊息，資料總量逹 3.65 TB，涉及全球2.75 億名用戶。而密碼、出生日期、身份證明號碼、網上交易資料等較敏感資料則暫時未見涉及。已知受影響的本地院校包括香港理工大學、香港建造學院、香港科技大學、香港演藝學院、香港教育城。黑客可藉盜獲的資料犯案，例如製作高度逼真的詐騙電郵、冒充他人身份，進而針對受影響機構的用戶發動網絡釣魚攻擊。另外，平台存有的內部資料（包括專案草稿、內部行政文件等）或會遭披露，對該等機構造成不利。HKCERT建議受影響機構和人士採取以下預防措施：如你是受影響機構：暫時停止使用該平台檢視目前使用該平台的情況，例如儲存資料的類別、數量等，以評估受影響的程度識別任何已連接該平台的系統或第三方整合服務，並將其暫時分離。監察帳戶及系統是否出現異常登入行為、可疑存取或不尋常的資料存取模式，並檢視系統記錄及稽核紀錄，以找出任何入侵或未經授權存取的跡象。提醒教職員及學生提高警覺，留意可能利用外洩聯絡資料發動的釣魚電郵或社交工程攻擊，尤其是警惕任何提及「Canvas 更新」或「PCPD 調查」等可疑電郵，並切勿批准任何非本人發起的雙重驗證（2FA）請求。提醒教職員及學生，切勿於任何網上平台上發布任何敏感資訊，或與專案相關的內部內容如懷疑涉及個人資料外洩，應立時向個人資料私隱專員公署及受影響人士作出通報如是受影響人士，特別是教職員或學生：提防聲稱與 Canvas、學校或調查有關的可疑電郵、訊息或來電不要點擊可疑連結或開啟來歷不明的附件切勿批准任何並非由你發出的 MFA／雙重認證要求作為預防措施，如在其他服務上使用與該平台的相同密碼，應立即更改該密碼留意帳戶有否異常活動，並盡快向所屬院校或機構報告可疑情況