Canvas系統遭入侵︱教城：僅提供SSO識別資料 包括姓名、電郵及會員帳號 無證據顯示受影響

香港教育城（教城）今日（8日）公布，於香港時間星期三（5日）獲悉服務供應商Canvas學習管理系統發生資訊保安事故，涉及未經授權人士非法獲取部分用戶資料，包括用戶姓名、電郵地址及學生編號。教城指，僅向Canvas提供單一登入（SSO）的識別資料（包括用戶姓名、電郵地址及教城會員帳號），其餘用戶資料均儲存於教城系統，未有證據顯示受今次事故影響。教城將會與Canvas及相關部門積極跟進事件，確保作出適當處理，並加強未來的資訊及網絡安全防護。教城一向高度重視資訊及網絡保安，嚴格遵循政府既定程序執行相關工作。教城建議用戶提高警覺，留意可疑電郵，切勿點擊可疑連結。教城將持續注意事態發展。如有疑問，可電郵至 [email protected] 與教城聯絡。方保僑認為教城應該盡快通知所有受影響用戶，受影響用戶最需要防範的是後續釣魚攻擊。資料圖片方保僑: 教城應盡快通知受影響用戶  用户宜立即更改密碼香港資訊科技商會榮譽會長方保僑回覆《星島頭條網》指，教城今次事件屬於第三方平台資料保安事故，是 Canvas 供應商的資料處理或帳戶保護環節，而不是教城主系統。教城已表示，只向 Canvas 提供單一登入所需的基本識別資料，其他資料仍存放在教城系統，暫時未見核心資料外洩。但事件仍反映出學校和教育平台高度依賴外判服務，一旦供應商出事，相關用戶仍會受影響。他認為教城應該盡快通知所有受影響用戶，而受影響用戶最需要防範的是後續釣魚攻擊。黑客若掌握姓名、電郵和學生編號，很容易冒充學校、教城或平台發送假登入通知、重設密碼信件，誘騙用戶點擊連結或交出密碼，建議用户立即更改相關密碼，尤其是曾重用相同密碼的帳戶；如有雙重認證，應盡快啟用。同時要留意有沒有異常登入通知、未經授權的密碼重設、或來歷不明的電郵和短訊。最重要是不要直接點擊訊息內的連結，應自行輸入官方網站登入，如有懷疑應盡快與教成直接聯絡。相關新聞：網上平台Canvas遭黑客入侵 疑外洩學生與教師資料 2.75億人陷風險