黑客組織 ShinyHunters 二度入侵廣泛使用學習管理系統 Canvas,聲稱竊取全球 8,809 間教育機構逾 2.75 億用戶資料。黑客威脅若未能於 5 月 12 日前達成和解協議,將公開所有資料。私隱專員公署確認本港至少 5 間教育機構受影響,合計逾 4.4 萬名師生資料外洩。
事件經過
Canvas 母公司 Instructure 早於 5 月 7 日前察覺系統首次遭入侵,但一直未有主動通知用戶。5 月 7 日香港時間凌晨,大批師生登入 Canvas 時,直接在登入頁面看到 ShinyHunters 勒索警告,要求受影響機構於 5 月 12 日前聯絡黑客協商和解,否則所有資料將遭公開。Instructure 其後將 Canvas、Canvas Beta 及 Canvas Test 全部設為「維護模式」。事件調查期間平台一度無法使用,正值多間大學舉行期末考試,影響尤為嚴重。
被盜資料與入侵原因
Instructure 確認被竊資料包括姓名、電郵地址、學號及用戶間訊息內容。目前暫無證據顯示密碼、出生日期、政府身份識別資訊或財務資料外洩。ShinyHunters 聲稱共竊取 3.65 TB 資料,涉及 2.75 億條記錄。Instructure 事後確認 Free-For-Teacher 帳戶安全漏洞引致入侵。Canvas 目前佔全球高等院校學習管理系統市場佔有率約 41%,全球活躍用戶逾 3,000 萬人,令今次事件成為截至 2026 年 5 月有記錄以來規模最大教育界網絡安全事故。
名校首當其衝
今次攻擊波及全球多個地區,包括美國、英國、澳洲、加拿大、荷蘭、瑞典及紐西蘭。美國受影響院校涵蓋所有 Ivy League 院校,以及 Harvard University、University of Pennsylvania、Johns Hopkins University、University of California、University of Chicago 等逾數十間知名院校。由於正值期末考試期間,多間大學宣布延長功課提交限期。澳洲聯邦政府國家網絡安全辦公室已介入協調應對,University of Technology Sydney、RMIT University 等院校臨時停用 Canvas。
香港 5 間機構受波及
私隱專員公署確認本港 5 間教育機構已就事件通報當局,分別為香港理工大學、香港科技大學、香港演藝學院、香港建造學院及香港教育城。其中香港理工大學受影響人數最多,涉及約 4.2 萬名學生及教職員。香港建造學院則有約 2,500 人受影響,其餘 3 間機構受影響人數目前未有公布。私隱專員公署提醒受影響人士提高警覺,防範釣魚電郵及身份盜竊等風險。
資料來源:RTHK、Wikipedia、Malwarebytes
