近日,跨國網上教學管理平臺“Canvas”開發商“Instructure”早前遭駭客入侵,全球約2.75億使用者資料洩露,全球逾9000間機構受影響教育。據香港特區政府個人資料私隱專員公署透露,截至5月11日,香港已知有7家教育機構的資料被洩露,涉及使用者姓名、電郵地址、學生編號等。
據Canvas開發商Instructure早前透露,此次事件涉及的資料包括使用者姓名、電郵地址、學生編號,以及使用者之間的通訊資訊,資料總量達3.65TB,涉及全球2.75億名使用者教育。而密碼、出生日期、身份證號碼、網上交易資料等較敏感資料則暫時未發現涉及。
香港網路安全事故協調中心(HKCERT)主管李子圖介紹,事件發生在4月底,有駭客發現並利用了Canvas系統“Free-for-Teacher”服務的保安漏洞進行攻擊,入侵後可存取整個資料庫教育。
此次事件涉及香港理工大學、香港建造學院、香港教育城有限公司、香港科技大學、香港城市大學、香港藝術學院、香港演藝學院等多家香港教育機構,香港城市大學初步統計就有約28000名學生受影響,香港藝術學院初步統計則有約71名學生受影響教育。個人資料私隱專員公署已建議相關機構儘快通知受影響人士,並根據個案情況提供協助,以免事件擴大。
香港特區政府教育局表示,事件影響部分學校及教資會資助大學教育。教育城於5月5日得悉事故後立即啟動事故應變小組,並向警方備案及通報個人資料私隱專員公署,同時主動通知受影響的學校,提供相關安全建議。此外,教育城與Canvas服務供應商及相關部門積極跟進事件,確保作出適當處理,並加強未來的資訊及網路安全防護。
儘管Instructure早前表示系統已恢復正常,但李子圖強調風險仍可能存在,且駭客可憑盜獲資料就受影響院校使用者發動網路釣魚攻擊教育。他建議相關機構暫停使用平臺並分離對應服務;使用者要立即更換重用密碼,警惕可疑連結,若收到任何要求登入Canvas或提供相關資料的電郵,要先聯絡院校進行確認。
生產力局首席數碼總監黎少斌分析指出,教學管理平臺專為教學設計,使用方便且無需使用者維護,所以對教育機構十分有吸引力教育。當平臺儲存大規模的使用者資料資訊後,非常容易成為駭客高價值的攻擊目標。
李子圖也強調,院校在選擇第三方平臺時要關注其安全係數,如檢閱相關報告及應對協議等,並要有“後備選擇”教育。執行關鍵資料要進行加密並儘量本地儲存,降低洩露風險。
11日,Instructure公司更新遭遇網路安全事故進展,表示網路犯罪分子已將Canvas的被盜資料歸還,併發布了資料銷燬的電子確認憑證教育。宣告中未透露向涉事的勒索組織支付了多少贖金,但Instructure表示將進一步取證分析、加固系統安全,並對所涉資料進行全面審查。
HKCERT指出,事件反映當機構廣泛依賴第三方平臺作為核心運作的一部分時,即使其內部系統沒有遭到入侵,仍可能因供應商層面的安全事故,而面對資料外洩及後續網路攻擊的風險教育。
南方+記者 陳彧
