全球廣泛使用的線上學習平台 Canvas 遭受嚴重網絡攻擊。黑客組織 ShinyHunters 宣稱已入侵 Canvas 母公司 Instructure,竊取約 2.75 億用戶個人資料,包括姓名、電郵、學生證號及訊息。平台因此短暫關閉,多所大學正值期末考期間,師生大受影響。香港私隱公署已接獲 5 間教育機構通報資料外洩,涉及理大、科大等,初步估計數萬人受影響。事件引發教育界對網絡安全的高度關注。
Canvas 由 Instructure 開發,是全球逾 8,000 所院校使用的學習管理系統。ShinyHunters 在 5 月 3 日時宣稱已入侵該平台。日前多名用戶登入時發現 ShinyHunters 勒索訊息,威脅院校 5 月 12 日前未達成和解即公開資料,導致平台緊急維護。美國多間頂尖大學如 Harvard、Columbia 等受波及,師生在期末考季無法存取課程及作業。
Instructure 回應已撤銷憑證並調查,強調無證據顯示密碼或財務資料外洩,但姓名、電郵、學生編號及私人訊息可能受影響。平台已逐步恢復,但部分功能仍受限。
ShinyHunters 為知名勒索軟體團體,此前已多次發動類似攻擊。他們聲稱影響近 9,000 所全球院校,並已取得數十億筆記錄。專家指出,此次攻擊凸顯教育機構對雲端平台的過度依賴,尤其在期末考季造成最大破壞。
事件發生後,多間學校呼籲師生更改密碼、啟用多重驗證(MFA),並警惕釣魚攻擊。網絡安全專家提醒,用戶應保持警惕,避免點擊可疑連結。Instructure 正與執法機關合作,預計將有進一步調查結果公布。
香港 5 間教育機構通報資料外洩
香港私隱專員公署截至 5 月 8 日下午 6 時,接獲 5 間教育機構資料外洩通報,均涉及使用 Canvas 遭黑客入侵。受影響機構包括香港理工大學(約 42,000 名學生及員工)、香港建造學院(約 2,500 名學生及員工)、香港科技大學、香港演藝學院及香港教育城有限公司。
初步涉及資料包括姓名及電郵地址。香港科技大學可能另涉帳戶及學歷資料;香港演藝學院則可能包括學生編號及成績。公署已按機制展開調查。各機構正通知受影響人士,並呼籲更改密碼及啟用多重驗證。
