Canvas系統遭入侵多兩校受影響
發佈時間:03:00 2026-05-12 HKT
全球廣泛使用的網上教學管理平台Canvas近日傳出重大網絡安全事故,其母公司Instructure遭到黑客組織ShinyHunters入侵,全球多間中小學、大學及教育機構受到影響,涉及人數有近2.75億人。本港方面,個人資料私隱專員公署昨日表示,再接獲多兩間教育機構的資料外洩事故通報,包括香港城市大學及香港藝術學院。換言之,連同之前公布的5間機構,估計最少有7.3萬人受影響。生產力局轄下香港網絡安全事故協調中心建議,受影響機構暫停使用該平台,又提醒教職員及學生警惕釣魚電郵。
私隱專員公署表示,除香港理工大學、香港建造學院、香港教育城有限公司、香港科技大學及香港演藝學院5間機構外,公署亦分別於前日及昨日接獲兩間教育機構就相關事件的資料外洩事故通報。
公署指,其中香港藝術學院初步顯示約71名學生受影響,初步顯示可能涉及的個人資料為姓名及電郵地址;香港城市大學初步顯示約2.8萬名學生受影響,初步顯示可能涉及的個人資料包括姓名、電郵地址、課程名稱、報讀課程資訊(包括用戶名稱及學生編號),以及系統內的訊息。公署已建議相關機構盡快通知受影響人士,並視乎個案情況提供協助,以免外洩事件擴大。
警惕釣魚電郵或短訊
生產力局首席數碼總監黎少斌表示,Canvas由美國Instructure公司開發,應用在學校、教育機構的網上教學管理平台,專門處理課程內容、作業提交及批改、成績記錄、師生通訊等,本港亦有院校使用,「該類型雲端平台一旦出現資料或帳戶盜用風險,會影響全球用戶,只要你使用它的系統,無論身處哪一個地方,都有機會受到影響。」
黎少斌表示,開發商Instructure於4月29日偵測到系統異常,曾一度暫停服務進行調查及加強保護,其後黑客組織ShinyHunters聲稱,已盜取全球接近9000院校超過2億數據並勒索金錢。直至本月6日,Instructure表示系統已經修復,服務回復正常;惟5月7、8日,ShinyHunters再次篡改部分院校的Canvas登入頁面,意圖直接勒索院校。
黎少斌稱,本地亦有多間教育機構受到影響,若教學高度依賴該系統,有機會影響教務活動需暫停,而敏感資料亦會遭篡改或刪除。
他又指,目前最擔心的是師生可能面臨後續釣魚及冒充攻擊,「例如學生收到電郵指要在該系統進行,黑客在平台查看所有資料後,能夠精準地創造釣魚軟件或短訊」,並發送有針對性釣魚電郵或短訊予師生,假冒Canvas官方通知院校IT部門、老師或課程管理人員,誘導用戶重設密碼、提供MFA碼、點擊惡意連結等,必須加以警惕。
教育局表示,大學教育資助委員會和各教資會資助大學一向高度重視網絡安全,各大學已就數據或網絡安全等事宜訂立具體的校本指引。教資會亦與各大學保持緊密聯繫,並不時就政府的最新政策或其他相關資訊向各資助大學發放資料。
