網絡教育平台 Canvas 遭黑客組織入侵,母公司 Instructure 周二披露,被存取的資料可能包括用戶姓名、個人電郵地址、學生編號,以及教師與學生之間的通訊訊息,涉及全球高達 2.75 億名用戶,涵蓋近 9,000 間學校。香港網絡安全事故協調中心公布,本港已有五間院校就資料懷疑外洩主動通報個人資料私隱專員公署,包括香港理工大學、香港建造學院、香港科技大學、香港演藝學院及香港教育城。軟件安全及漏洞研究員賴灼東表示,有關平台屬於雲端服務器,黑客入侵可能性包括服務器設定問題、網站或應用程式漏洞,或者執行作業程式被遠端控制等。
黑客 ShinyHunters 加劇勒索施壓
黑客組織 ShinyHunters 聲稱對事件負責,並在三間學校的 Canvas 登入頁面進行塗污,注入 HTML 檔案改變畫面,顯示訊息指將於 5 月 12 日公開竊取資料,除非 Instructure 達成和解談判。公司網站目前部分上線,偶爾出現「請求過多」錯誤,Canvas 入口則顯示「目前進行預定維護」通知。賴灼東指出,被盜取的師生資料可用作製作釣魚網站或進行社交工程,例如發出招生、手提電腦或旅行折扣、暑期工招募等電郵,若涉及地址或電話號碼,可能威脅人身安全,有關資料亦可用於造假證、辦理網上理財服務等。他提醒用戶立即啟動雙重認證、更改密碼和重要資料,並留意可疑賬目。
賴灼東又說,院校多時較被動,傾向揀選大牌子、多人用及功能好的平台,但建議根據數字辦指引,問清楚平台有何安全措施、有無做好加密和備份,能否給予技術控制等。ShinyHunters 過去數年入侵多宗事件,遵循相同模式:入侵後公開資料並勒索贖金,此次事件顯示他們正加大對 Instructure 及其客戶的壓力。本港院校用戶宜提高警惕,確保帳戶安全,以防進一步風險。
📬 免費訂閱 TechRitual 科技精選
每 3 日由 AI 精選 5 篇最重要香港科技新聞,直送你信箱
