【點新聞報道】跨國網上教學管理平台Canvas早前遭受大規模網絡攻擊,本港有5間教育機構因此受影響。香港網絡安全事故協調中心(HKCERT)今日(11日)就此舉辦簡介會,呼籲用戶警惕後續可能的釣魚及冒充攻擊。
HKCERT主管李子圖介紹,事件於約4月底發生,有黑客發現並利用了Canvas系統「Free-for-Teacher」服務的保安漏洞進行攻擊,入侵後可存取整個數據庫。已知受影響的本地院校包括香港理工大學、香港建造學院、香港科技大學、香港演藝學院,以及香港教育城有限公司。
據Canvas開發商Instructure介紹,事涉資料或包括用戶姓名、電郵地址、學生編號,以及用戶之間的通訊訊息,資料總量達3.65TB,涉及全球2.75億名用戶。而密碼、出生日期、身份證明號碼、網上交易資料等較敏感資料則暫時未見涉及。
Instructure早前指系統已恢復正常,但李子圖強調,風險仍可能存在,且黑客可憑盜獲資料就受影響院校用戶發動網絡釣魚攻擊。他建議相關機構暫停使用平台並分離對應服務;用戶則要立即更換重用密碼,警惕可疑鏈接,若收到任何要求登入Canvas或提供相關資料的電郵,要先聯絡院校進行確認。
生產力局首席數碼總監黎少斌分析指,教學管理平台專為教學設計,易用且無需用戶維護,對教育機構十分有吸引力;然而,平台在儲存大規模用戶及個人資料後,亦成為黑客高價值的攻擊目標,一旦出事,使用者會十分被動。
被問及脫離第三方平台、自研系統對院校是否可行時,李子圖指出,無論研發或後期維護均成本不菲,機構亦難以不藉助外力完成,相對風險仍會存在。
李子圖強調,院校在選擇第三方平台時要關注其安全系數,如檢閱相關報告及應對協議等,並要有「後備選擇」;運行關鍵數據則要進行加密並盡量本地儲存,降低洩露風險。
(點新聞記者劉鴻霖報道;視頻攝製:任青、韓秭一)
更多閱讀:
收藏
取消收藏
分享
