標題: Canvas遭黑客入侵　城大理大科大演藝教城等資料外洩 [打印本頁]

---

作者: TH30    時間: 2026-5-13 09:13     標題: Canvas遭黑客入侵　城大理大科大演藝教城等資料外洩

網絡教育平台Canvas遭黑客組織入侵，個人資料私隱專員公署表示，除香港理工大學、香港建造學院、香港教育城有限公司、香港科技大學及香港演藝學院5間機構外，亦分別接獲兩間教育機構通報資料外洩事故。

其中一間教育機構是香港城市大學，初步顯示受影響人數約28000名學生，可能涉及的個人資料包括姓名、電郵地址、課程名稱、報讀課程資訊，以及系統內的訊息。另一間教育機構是香港藝術學院，初步顯示約71名學生受影響，可能涉及的個人資料包括姓名及電郵地址。

---

作者: TH30    時間: 2026-5-13 09:16

發佈時間：15:17 2026-05-11 HKT


網上教學管理平台「Canvas」開發商「Instructure」於上月底遭黑客入侵，涉及資料或包括用戶姓名、電郵地址、學生編號，以及用戶之間的通訊訊息，總量達3.65TB，涉及全球2.75億名用戶。目前為止，本港已有5間院校就資料懷疑外洩一事主動通報個人資料私隱專員公署，包括香港理工大學、香港建造學院、香港科技大學、香港演藝學院、香港教育城。香港網絡安全事故協調中心今日（11日）公布最新情況及跟進工作，建議受影響機構暫時停止使用該平台，並檢視目前使用該平台的情況，又提醒教職員及學生警惕釣魚電郵及社交工程攻擊。
籲師生警惕釣魚電郵及社交工程攻擊

生產力局首席數碼總監黎少斌表示，Canvas由美國Instructure公司開發，應用在學校、教育機構的網上教學管理平台，專門處理課程內容、作業提交及批改、成績記錄、師生通訊等，本港亦有院校使用，「該類型雲端平台一旦出現資料或帳戶盜用風險，會影響全球用戶，只要你使用它的系統，無論身處哪一個地方，都有機會受到影響。」

黎少斌表示，開發商Instructure於4月29日偵測到系統異常，曾一度暫停服務進行調查及加強保護，其後黑客組織ShinyHunters聲稱，已盜取全球接近9,000院校超過2億數據並勒索金錢。直至5月6日，Instructure表示系統已經修復，服務回復正常；惟5月7、8日，ShinyHunters再次篡改部分院校的Canvas登入頁面，意圖直接勒索院校。根據網上流傳的受影響學校名單，本港亦有多間院校上榜。

---

作者: TH30    時間: 2026-5-13 09:18

黎少斌稱，5間主動通報私隱公署的院校中，影響範圍仍有待調查，又指中心5月初已留意到事故，並主動聯絡該些院校，提供建議作參考。

他解釋，本地院校亦是受害方，其實際影響要視乎系統牽涉多少日常教學流程，若院校教學高度依賴該系統，有機會影響教務活動需暫停，而敏感資料亦會遭篡改或刪除。

他指出，目前最需要擔心的是，師生可能面臨後續釣魚及冒充攻擊，「例如學生收到電郵指要在該系統進行，黑客在平台查看所有資料後，能夠精準地創造釣魚軟件或短訊」，並發送有針對性釣魚電郵或短訊予師生，假冒Canvas官方通知院校IT部門、老師或課程管理人員，誘導用戶重設密碼、提供MFA碼、點擊惡意連結等。他提醒，若院校為維持日常學校的運作，必須繼續使用Canvas系統，則要多加留意，進入任何連結前要看一看，該網站代碼是否平常使用。
提醒勿於網上平台發布敏感或內部資訊

香港網絡安全事故協調中心主管李子圖表示，事故源於系統存在保安漏洞，某功能的漏洞被黑客發現，入侵後能存取整個數據庫，反映應用程式安全不足的嚴重性，非核心功能或周邊功能的安全性被忽略，但其風險與核心功能雷同。

他又指，事故發生後，中心一直與數字政策辦公室保持緊密聯絡，適時檢視形勢，按風險及實際需要制定對策和應急方案，並主動通知本港院校IT或網安部門採取緊急措施，包括檢視院校有否使用Canvas、監察帳戶有否異常活動、提醒所有師生提防網絡釣魚，以及加強其他系統的網絡保安。

該中心建議，受影響機構暫時停止使用該平台，並檢視目前使用該平台的情況，例如儲存資料的類別、數量等，以評估受影響的程度；分離已連接該平台的系統及第三方整合服務；監察帳戶及系統是否出現異常登入行為、可疑存取或不尋常的資料存取模式。中心又提醒教職員及學生警惕釣魚電郵及社交工程攻擊（特別是提及Canvas/個人資料私隱專員公署）；切勿於任何網上平台上發布任何敏感資訊或內部資訊。