-
作者
-
發佈日期
2026-05-09
-
閱讀時間
6分鐘
-
字體大小
黑客組織 ShinyHunters 二度入侵廣泛使用學習管理系統 Canvas,聲稱竊取全球 8,809 間教育機構逾 2.75 億用戶資料。黑客威脅若未能於 5 月 12 日前達成和解協議,將公開所有資料。私隱專員公署確認本港至少 5 間教育機構受影響,合計逾 4.4 萬名師生資料外洩。
事件經過
Canvas 母公司 Instructure 早於 5 月 7 日前察覺系統首次遭入侵,但一直未有主動通知用戶。5 月 7 日香港時間凌晨,大批師生登入 Canvas 時,直接在登入頁面看到 ShinyHunters 勒索警告,要求受影響機構於 5 月 12 日前聯絡黑客協商和解,否則所有資料將遭公開。Instructure 其後將 Canvas、Canvas Beta 及 Canvas Test 全部設為「維護模式」。事件調查期間平台一度無法使用,正值多間大學舉行期末考試,影響尤為嚴重。
被盜資料與入侵原因
Instructure 確認被竊資料包括姓名、電郵地址、學號及用戶間訊息內容。目前暫無證據顯示密碼、出生日期、政府身份識別資訊或財務資料外洩。ShinyHunters 聲稱共竊取 3.65 TB 資料,涉及 2.75 億條記錄。Instructure 事後確認 Free-For-Teacher 帳戶安全漏洞引致入侵。Canvas 目前佔全球高等院校學習管理系統市場佔有率約 41%,全球活躍用戶逾 3,000 萬人,令今次事件成為截至 2026 年 5 月有記錄以來規模最大教育界網絡安全事故。
名校首當其衝
今次攻擊波及全球多個地區,包括美國、英國、澳洲、加拿大、荷蘭、瑞典及紐西蘭。美國受影響院校涵蓋所有 Ivy League 院校,以及 Harvard University、University of Pennsylvania、Johns Hopkins University、University of California、University of Chicago 等逾數十間知名院校。由於正值期末考試期間,多間大學宣布延長功課提交限期。澳洲聯邦政府國家網絡安全辦公室已介入協調應對,University of Technology Sydney、RMIT University 等院校臨時停用 Canvas。
香港 5 間機構受波及
私隱專員公署確認本港 5 間教育機構已就事件通報當局,分別為香港理工大學、香港科技大學、香港演藝學院、香港建造學院及香港教育城。其中香港理工大學受影響人數最多,涉及約 4.2 萬名學生及教職員。香港建造學院則有約 2,500 人受影響,其餘 3 間機構受影響人數目前未有公布。私隱專員公署提醒受影響人士提高警覺,防範釣魚電郵及身份盜竊等風險。
香港資訊科技商會榮譽會長 方保僑 認為在今次 Canvas 洩漏事件中,顯示教育機構即使核心系統未必失守,第三方平台一旦出事,學生及教職員資料一樣可能外洩。今次涉及姓名、電郵同學生編號,雖然未必屬於最高度敏感資料,但足以被用於作釣魚、冒名登入同詐騙,風險絕不可以低估。 事件值得大眾關注,因為 Canvas 是一個國際知名的學習管理平台,所以本港受影響的教育機構及人數可能會持續上升。
而本地教育機構在 SSO整合同資料管理是否有漏洞,亦反映機構對外判服務嘅監察要更嚴緊。對受影響人士來說,最實際做法要立即改密碼、開啟雙重認證、留意可疑電郵同登入通知,亦不要隨便點擊任何聲稱來自學校或Canvas嘅連結。教育機構之後亦應向公眾交代影響範圍、補救措施同後續保安安排,減低二次風險。 現時教育機構可以利用其他系統作為登入,例如政府的智方便,可以供11歲以上人士採用( 需要持有有效香港智能身份證)。
資料來源:RTHK、Wikipedia、Malwarebytes
