Canvas系统遭入侵︱再波及两间院校！城大及艺术学院向私隐署通报 分别2.8万及71人受影响

网上教学管理平台“Canvas”开发商“Instructure”上月底遭黑客入侵，本港有5间院校向私隐专员公署通报资料外泄事故。私隐公署表示，截至5月11日，除香港理工大学、香港建造学院、香港教育城有限公司、香港科技大学及香港演艺学院5间机构外，公署亦分别于5月10日及5月11日接获两间教育机构就相关事件的资料外泄事故通报。

城市大学于5月11日向公署通报，初步显示约28,000名学生受影响，或涉及姓名、电邮地址、课程名称、报读课程资讯（包括用户名称及学生编号），以及系统内讯息；香港艺术学院于5月10日向公署通报，初步显示约71名学生受影响，或涉及姓名及电邮地址。公署已建议相关机构尽快通知受影响人士，并视乎个案情况提供协助，以免外泄事件扩大。

城市大学于5月11日向公署通报，初步显示约28,000名学生受影响。

香港艺术学院于5月10日向公署通报，初步显示约71名学生受影响，或涉及姓名及电邮地址。

网上教学管理平台“Canvas”开发商“Instructure”上月底遭黑客入侵。

城市大学于5月11日向公署通报，初步显示约28,000名学生受影响。

内容或涉及或涉及姓名、电邮地址、课程名称、报读课程资讯（包括用户名称及学生编号），以及系统内讯息。

私隐专员公署早前表示，接获五间教育机构的资料外泄事故通报，其使用的网上教学管理平台Canvas遭黑客入侵。该五间教育机构分别为：

1.香港理工大学

初步显示受影响人数：约42,000名学生及员工
初步显示可能涉及的个人资料：姓名及电邮地址

2.香港建造学院

初步显示受影响人数：约2,500名学生及员工
初步显示可能涉及的个人资料：姓名、电邮地址及课程相关讯息

3.香港教育城有限公司

初步显示受影响人数：尚未确定
初步显示可能涉及的个人资料：姓名、电邮地址及学生编号

4.香港科技大学

初步显示受影响人数：尚未确定
初步显示可能涉及的个人资料：姓名、电邮地址、帐户资料及学历资料

5.香港演艺学院

初步显示受影响人数：尚未确定
初步显示可能涉及的个人资料：姓名、电邮地址、学生编号及成绩

私隐专员公署建议机构暂时停用相关平台并将相关平台与其他资讯系统分离，以及尽快检视其资讯系统保安。如怀疑或发现个人资料外泄，应立即采取措施防范资料进一步外泄，并尽快向公署及资料当事人作出通报。

私隐署提5建议防资料进一步外泄

另外，私隐专员公署亦呼吁可能受影响人士提高警惕，慎防个人资料被盗用， 并应采取以下措施，保障个人资料私隐：
 
* 收到不明来历或可疑的来电、短信或电邮时要提高警觉，切勿随意打开附件、连结或披露个人资料；
* 对网络钓鱼及其他诈骗行为提高警觉；
* 考虑更改网上帐户密码，并启用多重认证功能（如有）；
* 留意个人电邮或帐户有否不寻常的登入记录；及
* 怀疑受影响人士可以联络相关机构或公署 （ 电话：2827 2827、电邮：communications@pcpd.org.hk) 作出查询。

城大确认校内其他系统未有受影响

城大回复表示，香港城市大学（城大）采用学习管理系统 Canvas支援教学，该系统为全球约 9,000 所院校广泛使用。城大上周接获系统母公司 Instructure 通报，指其系统出现网络安全事件。城大在接获通知后，随即采取行动并落实各项建议安全措施，经核实确认校内其他系统未有受影响。本着预防与审慎原则，城大亦已主动向个人资料私隐专员公署通报事件。

城大一向重视网络安全及个人资料私隐，并已建立严密的多重安全防御机制。自 2021 年起，校方已全面推行多重身份验证（Multi-Factor Authentication, MFA），要求所有教职员及学生在登入帐户时，除了输入密码外，还需透过额外的验证方式确认身份，大大减低内部资料外泄的风险。

就本次事件，城大已即时向全校师生发出通告交代情况，并提醒师生保持警觉，留意可疑讯息。我们将持续与 Canvas 保持紧密沟通，密切监察事态发展，并竭力保障全体学生和教职员的个人隐私与资讯安全。