Canvas 平台網絡安全漏洞影響 Hong Kong 教育機構
導言
Office of the Privacy Commissioner for Personal Data (PCPD) 報告指出,Canvas 學習平台發生嚴重數據洩漏事故,影響本地七間機構。
正文
是次洩漏屬於一場針對全球約 9,000 間教育機構的網絡攻擊的一部分,導致 2.75 億名用戶共 3.5 terabytes 的數據被盜取。在 Hong Kong 司法管轄區內,該事件影響了 72,571 人,涉及機構包括 Hong Kong Polytechnic University 、 Hong Kong Institute of Construction 、 Hong Kong Education City Limited 、 Hong Kong University of Science and Technology 、 Hong Kong Academy for Performing Arts 、 Hong Kong Art School 及 City University of Hong Kong 。被洩漏的數據類別包括姓名、電子郵件地址、用戶識別碼、所屬部門及學生識別號碼。 相關持分者的立場顯示,平台開發商 Instructure 與 PCPD 之間存在分歧。 Instructure 表示,公司已與被識別為 『ShinyHunters』 的威脅者達成協議,隨後收到數據已刪除的數位確認。相反, Privacy Commissioner Ada Chung 對於可能支付贖金的行為表示強烈譴責。 PCPD 認為,向非法實體提供此類財務讓步適得其反,建議應將資源重新投入於強化網絡安全基礎設施。此外, Commissioner 強調支付贖金具有系統性風險,指出此類行為可能會激勵後續攻擊,且無法在經驗上保證數據能完全恢復,或保證不存在未經授權的備份。 針對該漏洞, PCPD 已建議各機構執行全面的安全審查,並從平台中清除敏感數據。此指令是基於該平台已兩次發生洩漏事故的觀察。此外, Commissioner 提及另一項關注事項,即 Instagram 決定自 5 月 8 日起停止訊息的 end-to-end encryption 功能,並建議用戶執行數據備份及刪除方案。
結論
PCPD 將繼續監察情況,同時促請各機構提升安全防禦水平,並對潛在的 phishing 企圖保持警覺。