Canvas系統遭入侵︱HKCERT籲停用平台警惕後續釣魚及冒充攻擊

更新時間：15:17 2026-05-11 HKT
發佈時間：15:17 2026-05-11 HKT

網上教學管理平台「Canvas」開發商「Instructure」於上月底遭黑客入侵，涉及資料或包括用戶姓名、電郵地址、學生編號，以及用戶之間的通訊訊息，總量達3.65TB，涉及全球2.75億名用戶。目前為止，本港已有5間院校就資料懷疑外洩一事主動通報個人資料私隱專員公署，包括香港理工大學、香港建造學院、香港科技大學、香港演藝學院、香港教育城。香港網絡安全事故協調中心今日（11日）公布最新情況及跟進工作，建議受影響機構暫時停止使用該平台，並檢視目前使用該平台的情況，又提醒教職員及學生警惕釣魚電郵及社交工程攻擊。

籲師生警惕釣魚電郵及社交工程攻擊

生產力局首席數碼總監黎少斌表示，Canvas由美國Instructure公司開發，應用在學校、教育機構的網上教學管理平台，專門處理課程內容、作業提交及批改、成績記錄、師生通訊等，本港亦有院校使用，「該類型雲端平台一旦出現資料或帳戶盜用風險，會影響全球用戶，只要你使用它的系統，無論身處哪一個地方，都有機會受到影響。」

黎少斌表示，開發商Instructure於4月29日偵測到系統異常，曾一度暫停服務進行調查及加強保護，其後黑客組織ShinyHunters聲稱，已盜取全球接近9,000院校超過2億數據並勒索金錢。直至5月6日，Instructure表示系統已經修復，服務回復正常；惟5月7、8日，ShinyHunters再次篡改部分院校的Canvas登入頁面，意圖直接勒索院校。根據網上流傳的受影響學校名單，本港亦有多間院校上榜。

點擊連結前要留神

黎少斌稱，5間主動通報私隱公署的院校中，影響範圍仍有待調查，又指中心5月初已留意到事故，並主動聯絡該些院校，提供建議作參考。

他解釋，本地院校亦是受害方，其實際影響要視乎系統牽涉多少日常教學流程，若院校教學高度依賴該系統，有機會影響教務活動需暫停，而敏感資料亦會遭篡改或刪除。

他指出，目前最需要擔心的是，師生可能面臨後續釣魚及冒充攻擊，「例如學生收到電郵指要在該系統進行，黑客在平台查看所有資料後，能夠精準地創造釣魚軟件或短訊」，並發送有針對性釣魚電郵或短訊予師生，假冒Canvas官方通知院校IT部門、老師或課程管理人員，誘導用戶重設密碼、提供MFA碼、點擊惡意連結等。他提醒，若院校為維持日常學校的運作，必須繼續使用Canvas系統，則要多加留意，進入任何連結前要看一看，該網站代碼是否平常使用。

提醒勿於網上平台發布敏感或內部資訊

香港網絡安全事故協調中心主管李子圖表示，事故源於系統存在保安漏洞，某功能的漏洞被黑客發現，入侵後能存取整個數據庫，反映應用程式安全不足的嚴重性，非核心功能或周邊功能的安全性被忽略，但其風險與核心功能雷同。

他又指，事故發生後，中心一直與數字政策辦公室保持緊密聯絡，適時檢視形勢，按風險及實際需要制定對策和應急方案，並主動通知本港院校IT或網安部門採取緊急措施，包括檢視院校有否使用Canvas、監察帳戶有否異常活動、提醒所有師生提防網絡釣魚，以及加強其他系統的網絡保安。

該中心建議，受影響機構暫時停止使用該平台，並檢視目前使用該平台的情況，例如儲存資料的類別、數量等，以評估受影響的程度；分離已連接該平台的系統及第三方整合服務；監察帳戶及系統是否出現異常登入行為、可疑存取或不尋常的資料存取模式。中心又提醒教職員及學生警惕釣魚電郵及社交工程攻擊（特別是提及Canvas/個人資料私隱專員公署）；切勿於任何網上平台上發布任何敏感資訊或內部資訊。

系統版本持續更新難設平台白名單

問及會否設白名單以協助院校篩選第三方平台，黎少斌表示暫時未有計劃，指並非沒考慮過，而是「任何一個白名單都不會是絕對的白名單」，由於系統會不斷更新，就算證明該版本完全沒有風險，當有系統更新時，便需重新檢查，故白名單更新的速度能否追上無人知曉，「就算今日係白名單，聽日都可能唔係」，亦擔心有副作用，機構或過分倚賴白名單。

至於能否自行開發系統，他稱要視乎該機構規模、可投入的資源，亦要考慮系統是否完全由公司人員內部開發及管理，或多或少會由第三方管理，仍有第三方風險，故很難有一個「滴水不漏」的解決方案。

對於學校應如何主動預防相關風險。李子圖表示，不少公司、學校及中小企在網絡安全方面資源有限，甚至未必清楚如何選擇合適的服務供應商。中心與數字辦去年底推出「網絡安全服務供應商聯動計劃」，協助機構在眾多選擇中找到可靠的服務供應商。計劃要求登記公司須具備真實案例，並在平台上公開，讓機構能夠按需要挑選供應商，助掌握成本。他強調，無論數據存放在本地伺服器或雲端，都必須加密，並提醒機構不要因交由第三方服務供應商處理，便忽略責任。

記者：何姵妤

攝影：吳艷玲

↓立即下載星島頭條App↓