在全球教育數碼化的浪潮中,網上學習管理系統(LMS)已成為各大院校不可或缺的核心基礎設施。然而,近日一宗針對跨國網上教學管理平台 Canvas 的大規模黑客入侵事件,再次為學界敲響了網絡安全的警鐘。根據 Canvas 開發商 Instructure 的最新披露,該平台遭到了知名黑客組織 ShinyHunters 的非法存取,聲稱已獲取全球多間學校的用戶資料,並試圖勒索金錢。這場涉及全球 2.75 億用戶、資料總量高達 3.65TB 的數據災難,正迅速波及香港多間知名大專院校與教育機構。
事件起源於今年四月底至五月初,開發商 Instructure 發現系統出現異常,並於 5 月 1 日正式承認遭受網絡攻擊。隨後,黑客組織 ShinyHunters 在 5 月 3 日公開承認責任,表示已從全球近 9,000 所院校中盜取了超過 2 億條數據。雖然開發商在 5 月 6 日宣稱系統已修復並恢復正常服務,但黑客的攻擊並未停止,甚至進一步篡改了部分院校的登入頁面,意圖直接對院校進行勒索。隨著受影響學校名單在網上流傳,香港多間院校亦被發現「榜上有名」,引發本地教育界的高度關注。
五間本地院校主動通報 影響範圍仍待調查
香港網絡安全事故協調中心(HKCERT)在獲悉事故後,已立即採取行動,主動通報有機會受影響的本港院校,提醒其加強監察系統異常並提防隨之而來的網絡釣魚攻擊。目前為止,本地已有五間院校就資料懷疑外洩一事,主動向個人資料私隱專員公署作出通報。這五間已知受影響的機構包括:香港理工大學、香港建造學院、香港科技大學、香港演藝學院及香港教育城。雖然初步調查顯示受影響範圍仍在釐定中,但事件對本地學術運作的衝擊已是不爭的事實。
根據 HKCERT 的評估,雖然這些院校並非被黑客直接入侵,但由於對第三方平台 Canvas 的高度依賴和信任,導致其教務活動可能需要暫時停頓。當前,這些院校正面臨敏感資料外洩、平台資料遭篡改或刪除的風險,更有可能成為後續釣魚攻擊的目標。為了應對危機, HKCERT 與數字政策辦公室保持緊密聯絡,按風險及實際需要制定對策,並強烈籲請各院校即時檢視系統安全,以防範黑客發動進一步的跟進攻擊。
3.65TB 敏感數據外流 用戶通訊紀錄或遭曝光
根據 Instructure 發出的官方聲明,這次外洩的資料內容相當廣泛,主要涵蓋了用戶姓名、電郵地址、學生編號,以及極具私隱性的用戶之間通訊訊息。這意味著師生在平台上的日常學術交流與私下溝通,均可能已被黑客掌握。雖然開發商指出,目前暫未發現密碼、出生日期、身份證明號碼或網上交易資料等更為敏感的資訊涉及其中,但 3.65TB 的龐大數據量已足以構成嚴重的安全威脅。
除了個人聯絡資料,Canvas 平台內存有的內部行政文件、專案草稿等內部資料亦面臨被披露的風險,這對相關教育機構而言無疑是巨大的打擊。黑客組織 ShinyHunters 向來以數據勒索聞名,其手段是在入侵系統後盜取數據並要求贖金,若索取不果,便會將數據公開。該組織曾要求在 5 月 6 日前支付贖金,雖據報已延長期限,但其手中掌握的大量教職員及學生資料,已成為他們進行後續犯罪活動的利器。
周邊功能漏洞成突破口 黑客組織 ShinyHunters 背景曝光
技術分析顯示,這次災難的成因源於 Canvas 某項功能的保安漏洞被黑客發現,入侵後進而能夠存取整個後台數據庫。HKCERT 指出,這反映了應用程式安全不足的嚴重性,特別是一些非核心功能或周邊功能的安全性往往被忽略,然而其潛在風險卻與核心功能雷同。這種「因小失大」的安全缺陷,正正是現代企業與機構最容易失守的爆點。
幕後黑手 ShinyHunters 是一個極其危險的網絡犯罪組織,過往曾攻擊過 Qantas、Google、LVMH 及 Salesforce 等大型跨國機構。僅在 2026 年至今,已有近 50 間機構受害,其中大部分為外國機構。與常見的勒索軟件組織不同,他們更傾向於純粹的數據勒索,並擅長利用社交工程攻擊來鎖定目標。這次對 Canvas 的攻擊,充分展示了他們針對供應鏈弱點進行大規模收割的能力。
外洩資料淪為詐騙工具 師生警惕高度逼真釣魚電郵
隨著大量個人資料流入黑客手中,受影響院校的師生將面臨極高風險的後續攻擊。黑客可藉由盜獲的姓名與聯絡資訊,製作出高度逼真的詐騙電郵或短訊,冒充 Canvas 官方通知、學校 IT 部部門、教授或課程管理人員。這些誘導訊息可能要求用戶重設密碼、提供多重驗證碼(MFA)或點擊惡意連結,進而引發更深層次的系統破壞或財物損失。
這種社交工程攻擊的欺騙性極強,因為黑客手中握有真實的學生編號與通訊歷史,足以令受害者放下戒心。HKCERT 特別警告,要警惕任何提及「Canvas 更新」、「PCPD(個人資料私隱專員公署)調查」等關鍵字眼的可疑郵件,及冒認院校發出通知的郵件。黑客甚至可能假冒受害人身份對其他人進行詐騙,形成連鎖式的信用危機。
HKCERT 發布緊急保安建議 院校應採取系統隔離措施
針對受影響的機構,HKCERT 提出了多項具體的預防措施。引述發言人的建議內容:「暫時停止使用該平台;檢視目前使用該平台的情況,例如儲存資料的類別、數量等,以評估受影響的程度;識別任何已連接該平台的系統或第三方整合服務,並將其暫時分離」。此外,院校必須加強監察帳戶及系統是否出現異常登入行為、可疑存取或不尋常的資料存取模式,並詳細檢視系統記錄及稽核紀錄,找出入侵跡象。
院校亦有責任提醒教職員及學生提高警覺,切勿批准任何非本人發起的雙重驗證(2FA)請求,更不可於任何網上平台上發布敏感資訊或專案相關的內部內容。HKCERT 強調,如懷疑涉及個人資料外洩,應立時向個人資料私隱專員公署及受影響人士作出通報。為了遏止危機擴散,院校應迅速採取行動,強化其他關聯系統的網絡保安措施。
個人用戶防護指南:切勿點擊不明連結與批准 2FA 請求
對於廣大的學生與教職員而言,自我保護是當務之急。HKCERT 給出的重要提醒包括:「提防聲稱與 Canvas、學校或調查有關的可疑電郵、訊息或來電;不要點擊可疑連結或開啟來歷不明的附件;切勿批准任何並非由你發出的MFA/雙重認證要求」。此外,作為預防措施,若用戶在其他網上服務中使用了與 Canvas 相同的密碼,應立即進行更改。
個人用戶應密切留意帳戶是否有異常活動,並盡快向所屬院校或機構報告任何可疑情況 。在數碼時代,密碼管理與身份驗證的警覺性直接決定了個人資訊的安全門檻。面對日益精密的社交工程攻擊,保持懷疑態度並透過官方渠道核實資訊,是防止資產損失的最佳防線。
2026年網絡安全展望:第三方服務商漏洞成新爆點
Canvas 事件僅是 2026 年五大網絡安全風險的一個縮影。HKCERT 指出,當前企業與院校面臨的主要威脅之一是「供應鏈漏洞及第三方安全缺口」。即使機構自身的網絡防禦措施完善,亦可能因外判服務遭受攻擊而間接受害。同時,過度依賴雲端基礎設施導致的「單一故障點」風險亦不容忽視,一旦平台故障且欠缺後備方案,將直接導致業務癱瘓。
數據顯示,2026 年第一季的網絡釣魚個案同比上升了 17%,這與 AI 驅動的網絡攻擊以及企業 AI 規管薄弱有著密切關係。面對日益複雜的威脅環境,HKCERT 呼籲公眾及教育界應清楚理解第三方風險的性質,並持續與相關單位合作推廣網絡安全。如遇任何緊急事故,公眾可致電 HKCERT 的 24 小時事故求助熱線 8105 6060 尋求支援。
Source:ezone.hk、HKCERT