東方日報A1：黑客攻破網教平台 學界私隱巨災

網絡安全威脅無孔不入，全球廣泛應用的網上教學管理平台Canvas遭黑客組織大規模入侵，涉及全球2.75億名用戶。香港成為私隱外洩的重災區之一，最新再有香港城市大學和香港藝術學院中招，其中城大有約2.8萬名學生受影響，連同早前逾4.5萬人的資料受影響，目前共有7間院校、估計超過7萬名師生及員工的個人資料外洩。香港網絡安全事故協調中心昨日警告，黑客或利用外洩資料發動精準的「二次詐騙」及釣魚攻擊，促請受影響機構暫時斷開相關系統，受影響人士應提高警覺，提防假網站，並強調難有「滴水不漏」解決方案，呼籲院校制訂應對第三方網絡風險措施。 早前公布受影響的本港院校包括香港理工大學、香港科技大學、香港演藝學院、香港教育城及香港建造學院，個人資料私隱專員公署最新接獲城市大學通報，初步顯示受影響人數約為2.8萬名學生，可能涉及的個人資料包括姓名、電郵地址、課程名稱、報讀課程資訊包括用戶名稱和學生編號，以及系統內的訊息。公署亦接獲香港藝術學院就事件通報資料外洩，初步顯示涉及71名學生，可能涉及的個人資料包括姓名及電郵地址。 據了解，當中更有涉事院校收到勒索電郵，顯示ShinyHunters指示受影響學校在今日或之前，透過網絡安全顧問公司與其談判，否則所有資料將會外洩。 生產力局首席數碼總監黎少斌指出，由於院校使用第三方平台，維護與保安主導權不在校方，形容使用者角色較為被動。由於黑客已掌握平台數據，可發動更具針對性的攻擊。他指，黑客看過所有資料，可精準創造釣魚軟件、短訊，指示受害人做甚麼動作。若進了假網站，很容易洩露密碼或其他訊息。他強調，若之後出現釣魚或冒充攻擊，後果更為嚴重。 對於坊間提出設立軟件安全「白名單」，黎少斌認為並非絕對解決方法，「任何一個白名單也不是絕對的白名單。」他解釋，SaaS系統更新頻繁，即使某一版本證實安全，一旦功能更新就須重新審視，指白名單更新速度未必追得上，更擔心機構會因此產生依賴而掉以輕心。 網絡安全事故協調中心表示，本月初已留意到事故，隨即聯絡受影響院校並與數字政策辦公室協作跟進。目前平台漏洞已修復，中心正利用人工智能工具主動掃描及移除針對Canvas的可疑釣魚網站，並建議機構在選擇平台時，應優先挑選具備網絡安全認證的供應商。 Canvas由美國Instructure公司開發，應用在學校、教育機構的網上教學管理平台，專門處理課程內容、作業提交及批改、成績記錄、師生通訊等。黎表示，開發商Instructure於上月29日偵測到系統異常，曾一度暫停服務進行調查及加強保護，其後黑客組織ShinyHunters聲稱，已盜取全球接近9,000院校逾兩億數據並勒索金錢。直至5月6日，開發商指系統已經修復，服務回復正常。不過，ShinyHunters於5月7日、8日再次篡改部分院校的Canvas登入頁面，意圖直接勒索院校。 更多新聞，請瀏覽東方日報網頁： http://orientaldaily.on.cc/