近日，跨国网上教学管理平台“Canvas”开发商“Instructure”早前遭黑客入侵，全球约2.75亿用户资料泄露，全球逾9000间机构受影响。据香港特区政府个人资料私隐专员公署透露，截至5月11日，香港已知有7家教育机构的资料被泄露，涉及用户姓名、电邮地址、学生编号等。

据Canvas开发商Instructure早前透露，此次事件涉及的资料包括用户姓名、电邮地址、学生编号，以及用户之间的通信信息，资料总量达3.65TB，涉及全球2.75亿名用户。而密码、出生日期、身份证号码、网上交易资料等较敏感资料则暂时未发现涉及。

香港网络安全事故协调中心（HKCERT）主管李子图介绍，事件发生在4月底，有黑客发现并利用了Canvas系统“Free-for-Teacher”服务的保安漏洞进行攻击，入侵后可存取整个数据库。

此次事件涉及香港理工大学、香港建造学院、香港教育城有限公司、香港科技大学、香港城市大学、香港艺术学院、香港演艺学院等多家香港教育机构，香港城市大学初步统计就有约28000名学生受影响，香港艺术学院初步统计则有约71名学生受影响。个人资料私隐专员公署已建议相关机构尽快通知受影响人士，并根据个案情况提供协助，以免事件扩大。

香港特区政府教育局表示，事件影响部分学校及教资会资助大学。教育城于5月5日得悉事故后立即启动事故应变小组，并向警方备案及通报个人资料私隐专员公署，同时主动通知受影响的学校，提供相关安全建议。此外，教育城与Canvas服务供应商及相关部门积极跟进事件，确保作出适当处理，并加强未来的信息及网络安全防护。

尽管Instructure早前表示系统已恢复正常，但李子图强调风险仍可能存在，且黑客可凭盗获资料就受影响院校用户发动网络钓鱼攻击。他建议相关机构暂停使用平台并分离对应服务；用户要立即更换重用密码，警惕可疑链接，若收到任何要求登录Canvas或提供相关资料的电邮，要先联络院校进行确认。

生产力局首席数码总监黎少斌分析指出，教学管理平台专为教学设计，使用方便且无需用户维护，所以对教育机构十分有吸引力。当平台储存大规模的用户资料信息后，非常容易成为黑客高价值的攻击目标。

李子图也强调，院校在选择第三方平台时要关注其安全系数，如检阅相关报告及应对协议等，并要有“后备选择”。运行关键数据要进行加密并尽量本地储存，降低泄露风险。

11日，Instructure公司更新遭遇网络安全事故进展，表示网络犯罪分子已将Canvas的被盗数据归还，并发布了数据销毁的电子确认凭证。声明中未透露向涉事的勒索组织支付了多少赎金，但Instructure表示将进一步取证分析、加固系统安全，并对所涉数据进行全面审查。

HKCERT指出，事件反映当机构广泛依赖第三方平台作为核心运作的一部分时，即使其内部系统没有遭到入侵，仍可能因供应商层面的安全事故，而面对资料外泄及后续网络攻击的风险。

南方+记者 陈彧