Canvas系统遭入侵多两校受影响
发布时间:03:00 2026-05-12 HKT
全球广泛使用的网上教学管理平台Canvas近日传出重大网络安全事故,其母公司Instructure遭到黑客组织ShinyHunters入侵,全球多间中小学、大学及教育机构受到影响,涉及人数有近2.75亿人。本港方面,个人资料私隐专员公署昨日表示,再接获多两间教育机构的资料外泄事故通报,包括香港城市大学及香港艺术学院。换言之,连同之前公布的5间机构,估计最少有7.3万人受影响。生产力局辖下香港网络安全事故协调中心建议,受影响机构暂停使用该平台,又提醒教职员及学生警惕钓鱼电邮。
私隐专员公署表示,除香港理工大学、香港建造学院、香港教育城有限公司、香港科技大学及香港演艺学院5间机构外,公署亦分别于前日及昨日接获两间教育机构就相关事件的资料外泄事故通报。
公署指,其中香港艺术学院初步显示约71名学生受影响,初步显示可能涉及的个人资料为姓名及电邮地址;香港城市大学初步显示约2.8万名学生受影响,初步显示可能涉及的个人资料包括姓名、电邮地址、课程名称、报读课程资讯(包括用户名称及学生编号),以及系统内的讯息。公署已建议相关机构尽快通知受影响人士,并视乎个案情况提供协助,以免外泄事件扩大。
警惕钓鱼电邮或短讯
生产力局首席数码总监黎少斌表示,Canvas由美国Instructure公司开发,应用在学校、教育机构的网上教学管理平台,专门处理课程内容、作业提交及批改、成绩记录、师生通讯等,本港亦有院校使用,「该类型云端平台一旦出现资料或帐户盗用风险,会影响全球用户,只要你使用它的系统,无论身处哪一个地方,都有机会受到影响。」
黎少斌表示,开发商Instructure于4月29日侦测到系统异常,曾一度暂停服务进行调查及加强保护,其后黑客组织ShinyHunters声称,已盗取全球接近9000院校超过2亿数据并勒索金钱。直至本月6日,Instructure表示系统已经修复,服务回复正常;惟5月7、8日,ShinyHunters再次篡改部分院校的Canvas登入页面,意图直接勒索院校。
黎少斌称,本地亦有多间教育机构受到影响,若教学高度依赖该系统,有机会影响教务活动需暂停,而敏感资料亦会遭篡改或删除。
他又指,目前最担心的是师生可能面临后续钓鱼及冒充攻击,「例如学生收到电邮指要在该系统进行,黑客在平台查看所有资料后,能够精准地创造钓鱼软件或短讯」,并发送有针对性钓鱼电邮或短讯予师生,假冒Canvas官方通知院校IT部门、老师或课程管理人员,诱导用户重设密码、提供MFA码、点击恶意连结等,必须加以警惕。
教育局表示,大学教育资助委员会和各教资会资助大学一向高度重视网络安全,各大学已就数据或网络安全等事宜订立具体的校本指引。教资会亦与各大学保持紧密联系,并不时就政府的最新政策或其他相关资讯向各资助大学发放资料。
