Canvas系统遭入侵｜母公司疑交赎金予黑客取回资料 钟丽玲：如属实将谴责

网上教育平台Canvas遭黑客攻击，涉及全球2.75亿名用户受影响，本地多间教育机构及院校学生、员工资料外泄。个人资料私隐专员钟丽玲今（15日）在电台节目表示，公署至今接获7间机构通报资料外泄事故，受影响人数超过7.2万人，外泄资料包括姓名、电邮、用户名称、学系资讯、学生编号，部分个案亦涉及课程及系统内资讯。

料涉事公司仍需数星期进行调查

钟丽玲指出，公署正联络相关机构了解受影响范围，并已建议相关机构尽快通知受影响的资料当事人，并向机构提供补救措施的建议，以减低事故可能造成的影响，暂时未有证据显示实际损失。

她表示，留意到平台被黑客入侵两次，涉事公司仍需数星期进行调查，呼吁仍使用该平台的机构全面检视资讯系统安全，并考虑删除曾上载至平台的敏感资料。

私隐公署至今接获7间机构通报资料外泄事故，受影响人数超过7.2万人。资料图片

钟丽玲：交赎金未必有作用

钟丽玲表示，留意到平台母公司公告显示，似乎与黑客达成协议，对方表示会归还资料。她指出，若涉及缴付赎金，公署予以谴责，因为黑客入侵属非法行为，认为受影响机构应将资源投放于系统提升等方面，而非给资源予黑客。

她亦指赎金未必起作用，质疑此举能否确保取回所有资料、黑客是否已备份资料，或会否引来其他黑客入侵，令风险更大。她提到，日前已有一宗个案在资料外泄后，收到钓鱼诈骗讯息，相关个案已报警。她提醒受影响人士要提高警剔，更改密码及启用多重认证功能之余，亦要提防不明来历或可疑来电、短信或电邮，切勿随意开启附件、链结等。

此外，钟丽玲表示，公署关注社交平台Instagram本月8日起不再支援“端对端加密”讯息功能，即是用户之间的讯息通话原本只限双方看到或听到，在没有此加密下，内容较易被第三方阅览。她建议担心的用户可将相关讯息内容备份及删除。

另外，私隐专员公署建议受影响的用户采取以下措施，以保障个人资料私隐。

• 收到不明来历或可疑的来电、短信或电邮，包括声称由Canvas平台发出的短信或电邮，应提高警觉，切勿随意开启附件、连结或披露个人资料；
• 对网络钓鱼及其他诈骗行为提高警觉；
• 考虑更改Canvas帐户及其他网上帐户的用户凭证，并启用多重认证功能（如适用）；
• 留意个人电邮、Canvas帐户或其他帐户有否异常登入记录；及
• 如怀疑受影响，可以联络相关机构或公署（ 电话：2827 2827、电邮：communications@pcpd.org.hk）查询。

公署亦建议可能受影响机构采取以下补救措施：

• 在重新使用该受影响平台前，全面检视资讯系统（包括该平台）的保安；
• 在可行情况下，将该受影响平台与其他资讯系统分隔；
• 监察相关平台日志的异常活动，包括不寻常的登入及大规模汇出资料的情况；
• 删除或尽量减少在该受影响平台所储存的敏感资料；及
• 为所有自该受影响平台汇出的资料或内容进行安全扫瞄。