個人資料私隱專員公署就Canvas學習管理平台遭受黑客入侵、多間本地教育機構用戶資料外洩一事,向受影響機構發出具體的跟進建議,並公開提示相關用戶採取自保措施,以防資料外洩引發的連帶安全風險。
私隱公署在發出的指引中,明確建議受影響的教育機構暫停使用Canvas平台,直至平台的安全漏洞獲得全面修補,並通過充分的安全測試為止。公署同時建議機構將Canvas平台與其他内部資訊系統作出技術隔離,防止黑客透過Canvas平台的入口,進一步滲透機構的其他系統或資料庫,以避免資料外洩的範圍進一步擴大。
在更廣泛的資訊保安措施方面,公署促請各受影響機構盡快對其整體資訊系統保安狀況進行全面檢視,識別任何潛在的系統漏洞,並制訂相應的修補及強化計劃。公署強調,今次事件反映教育機構在採用第三方學習管理平台時,對該類平台的網絡安全風險管理或存在不足,有需要重新評估在平台整合及數據存取方面的安全控制措施。
就直接受影響的用戶,公署提醒學生、教職員及其他相關人士,在個人資料可能已外洩的情況下,應高度警惕任何聲稱來自學校或Canvas平台的通訊,尤其是要求更改密碼、提供個人資料或點擊連結的短訊及電郵,以防不法分子利用已外洩的資料實施針對性的網絡釣魚攻擊。
公署並要求各受影響機構盡快通知所有受影響的相關人士,告知其個人資料可能外洩的情況及外洩的具體資料類別,讓當事人能夠採取必要的個人防護措施。機構亦有責任評估事件的全面影響,並就防止同類事件再次發生制訂長遠的資訊保安改善方案。
今次Canvas事件涉及香港理工大學、香港建造學院、香港科技大學、香港演藝學院及香港教育城有限公司,合計受影響人數龐大,促使公署就此採取積極的跟進姿態。