Canvas學習管理平台遭黑客入侵事件持續發展,香港電腦保安事故協調中心(HKCERT)就事件向本港機構及用戶發出安全指引,安全研究人員亦就事件的潛在成因及可能引發的後續風險提出詳細分析,提醒受影響用戶採取即時行動保障個人資料安全。
安全研究人員分析,Canvas平台今次遭受入侵的可能成因包括多個方面:伺服器配置存在安全漏洞、網站或應用程式代碼存在可被利用的弱點,以及雲端基礎設施的遠端管理進程遭到入侵等。研究人員指出,隨著教育機構對雲端平台的依賴日益加深,此類第三方服務平台一旦出現安全漏洞,其影響往往牽連多個機構的大量用戶,帶來的連帶風險不容低估。
就今次事件可能外洩的資料類別,相關資訊包括用戶的姓名、電郵地址、學生編號,以及用戶之間的私人通訊訊息等。研究人員特別提醒,這些個人資料一旦落入不法分子手中,可被用於多種形式的犯罪活動,包括針對受影響學生及職員的釣魚電郵攻擊、社交工程欺詐、偽造身份文件,甚至透過獲取足夠的個人資訊嘗試入侵金融賬戶,相關風險不可輕視。
HKCERT建議受影響機構立即評估平台存取及資料共享安排的安全風險,並考慮暫停使用Canvas平台,直至系統完成安全修補及測試。機構亦應全面審視其資訊系統架構,確保Canvas平台與其他內部系統保持適當的技術隔離,防止黑客以Canvas為跳板進一步滲透。
對於個人用戶,安全專家強烈建議立即為Canvas帳戶及其他使用相同密碼的服務啟用雙重身份認證,並更改相關帳戶的密碼及保安問題答案。用戶亦應密切留意任何聲稱來自學校或Canvas平台的通訊,對要求提供個人資訊或點擊連結的訊息保持高度警覺,以防成為針對性網絡釣魚攻擊的受害者。如有異常帳戶活動,應即時通知相關機構及更改密碼,並向警方或私隱公署舉報。