網上學習管理平台 Canvas 母公司 Instructure 確認遭黑客組織 ShinyHunters 入侵,全球約 2.75 億用戶資料外洩,波及全球逾 9,000 間機構,被盜數據總量達 3.65TB。香港個人資料私隱專員鍾麗玲今日表示,私隱專員公署已接獲 7 間本地機構求助,逾 7.2 萬名香港用戶受影響。
▲Canvas 母公司 Instructure 確認遭黑客組織 ShinyHunters 入侵,私隱專員公署已接獲 7 間本地機構求助,逾 7.2 萬名香港用戶受影響
付贖金引發安全憂慮
Instructure 本週初發聲明,指已與黑客達成協議,對方同意歸還所有被盜數據,並提供銷毀數據的數碼憑證,公司亦獲告知旗下客戶不會因此遭單獨勒索。鍾麗玲在一個電台節目批評支付贖金做法,認為此舉等同縱容非法行為,並強調相關資源應投放於加強平台安全,而非給予黑客。她亦質疑,即使黑客聲稱已歸還數據,亦無法保證對方未事先製作備份,或向其他黑客披露機構「會付贖金」消息,令機構日後持續成為攻擊目標。
攻擊手法與外洩內容
ShinyHunters 利用 Canvas 免費教師版(Free-for-Teacher)環境中一個涉及支援票據漏洞取得初始存取權限,繼而竊取大量數據。外洩資料包括用戶姓名、電郵地址、學生證號碼、課程資料及平台私訊。Instructure 強調,課程內容、作業提交紀錄、密碼、出生日期、政府身份識別資料及財務資料均未受波及,公司事後已暫停 Free-for-Teacher 帳戶,並撤銷相關系統特權憑證及 API 存取令牌。
二度被攻擊引質疑
Instructure 在不足 8 個月內第 2 次遭 ShinyHunters 入侵。2025 年 9 月,同一黑客組織曾透過社交工程手法入侵公司 Salesforce 環境,令外界質疑 Instructure 當時補救措施是否足夠全面。事發後,ShinyHunters 於 5 月 7 日發動第 2 波攻擊,竄改逾 330 間機構 Canvas 登入頁面,並向 Instructure 發出限期至 5 月 12 日勒索通知,最終促使公司決定與黑客談判。
香港受影響機構
鍾麗玲指出,本港受影響機構包括香港理工大學、香港科技大學、香港演藝學院及香港建造學院等,單計理工大學受影響師生已達約 4.2 萬人。她促請受影響用戶提高警覺,留意任何聲稱來自 Canvas 可疑來電或訊息,並對要求提供個人資料電郵保持警惕,因外洩資料足以令黑客偽裝成學校管理人員或 IT 支援人員發動針對性網絡釣魚攻擊。
資料來源:South China Morning Post
