Canvas系统遭入侵︱HKCERT吁停用平台 警惕后续钓鱼及冒充攻击

网上教学管理平台“Canvas”开发商“Instructure”于上月底遭黑客入侵，涉及资料或包括用户姓名、电邮地址、学生编号，以及用户之间的通讯讯息，总量达3.65TB，涉及全球2.75亿名用户。目前为止，本港已有5间院校就资料怀疑外泄一事主动通报个人资料私隐专员公署，包括香港理工大学、香港建造学院、香港科技大学、香港演艺学院、香港教育城。香港网络安全事故协调中心今日（11日）公布最新情况及跟进工作，建议受影响机构暂时停止使用该平台，并检视目前使用该平台的情况，又提醒教职员及学生警惕钓鱼电邮及社交工程攻击。

吁师生警惕钓鱼电邮及社交工程攻击

生产力局首席数码总监黎少斌表示，Canvas由美国Instructure公司开发，应用在学校、教育机构的网上教学管理平台，专门处理课程内容、作业提交及批改、成绩记录、师生通讯等，本港亦有院校使用，“该类型云端平台一旦出现资料或帐户盗用风险，会影响全球用户，只要你使用它的系统，无论身处哪一个地方，都有机会受到影响。”

黎少斌表示，开发商Instructure于4月29日侦测到系统异常，曾一度暂停服务进行调查及加强保护，其后黑客组织ShinyHunters声称，已盗取全球接近9,000院校超过2亿数据并勒索金钱。直至5月6日，Instructure表示系统已经修复，服务回复正常；惟5月7、8日，ShinyHunters再次篡改部分院校的Canvas登入页面，意图直接勒索院校。根据网上流传的受影响学校名单，本港亦有多间院校上榜。

网上教学管理平台“Canvas”开发商“Instructure”于上月底受黑客入侵。

香港网络安全事故协调中心公布最新情况及跟进工作，建议受影响机构暂时停止使用Canvas平台。

生产力局首席数码总监黎少斌指网上流传亦受影响学校名单，本港有多间院校均有上榜。

香港网络安全事故协调中心主管李子图表示事故发生后，一直与数字办保持紧密联络，适时检视形势。

中心提醒教职员及学生警惕钓鱼电邮及社交工程攻击。

点击连结前要留神

黎少斌称，5间主动通报私隐公署的院校中，影响范围仍有待调查，又指中心5月初已留意到事故，并主动联络该些院校，提供建议作参考。

他解释，本地院校亦是受害方，其实际影响要视乎系统牵涉多少日常教学流程，若院校教学高度依赖该系统，有机会影响教务活动需暂停，而敏感资料亦会遭篡改或删除。

他指出，目前最需要担心的是，师生可能面临后续钓鱼及冒充攻击，“例如学生收到电邮指要在该系统进行，黑客在平台查看所有资料后，能够精准地创造钓鱼软件或短信”，并发送有针对性钓鱼电邮或短信予师生，假冒Canvas官方通知院校IT部门、老师或课程管理人员，诱导用户重设密码、提供MFA码、点击恶意连结等。他提醒，若院校为维持日常学校的运作，必须继续使用Canvas系统，则要多加留意，进入任何连结前要看一看，该网站代码是否平常使用。

提醒勿于网上平台发布敏感或内部资讯

香港网络安全事故协调中心主管李子图表示，事故源于系统存在保安漏洞，某功能的漏洞被黑客发现，入侵后能存取整个数据库，反映应用程式安全不足的严重性，非核心功能或周边功能的安全性被忽略，但其风险与核心功能雷同。

他又指，事故发生后，中心一直与数字政策办公室保持紧密联络，适时检视形势，按风险及实际需要制定对策和应急方案，并主动通知本港院校IT或网安部门采取紧急措施，包括检视院校有否使用Canvas、监察帐户有否异常活动、提醒所有师生提防网络钓鱼，以及加强其他系统的网络保安。

该中心建议，受影响机构暂时停止使用该平台，并检视目前使用该平台的情况，例如储存资料的类别、数量等，以评估受影响的程度；分离已连接该平台的系统及第三方整合服务；监察帐户及系统是否出现异常登入行为、可疑存取或不寻常的资料存取模式。中心又提醒教职员及学生警惕钓鱼电邮及社交工程攻击（特别是提及Canvas/个人资料私隐专员公署）；切勿于任何网上平台上发布任何敏感资讯或内部资讯。

系统版本持续更新 难设平台白名单

问及会否设白名单以协助院校筛选第三方平台，黎少斌表示暂时未有计划，指并非没考虑过，而是“任何一个白名单都不会是绝对的白名单”，由于系统会不断更新，就算证明该版本完全没有风险，当有系统更新时，便需重新检查，故白名单更新的速度能否追上无人知晓，“就算今日系白名单，听日都可能唔系”，亦担心有副作用，机构或过分倚赖白名单。

至于能否自行开发系统，他称要视乎该机构规模、可投入的资源，亦要考虑系统是否完全由公司人员内部开发及管理，或多或少会由第三方管理，仍有第三方风险，故很难有一个“滴水不漏”的解决方案。

对于学校应如何主动预防相关风险。李子图表示，不少公司、学校及中小企在网络安全方面资源有限，甚至未必清楚如何选择合适的服务供应商。中心与数字办去年底推出“网络安全服务供应商联动计划”，协助机构在众多选择中找到可靠的服务供应商。计划要求登记公司须具备真实案例，并在平台上公开，让机构能够按需要挑选供应商，助掌握成本。他强调，无论数据存放在本地服务器或云端，都必须加密，并提醒机构不要因交由第三方服务供应商处理，便忽略责任。

记者：何姵妤

摄影：吴艳玲