线上学习平台Canvas遭黑客攻击事件持续发酵,本地网络安全专家根据开源情报和公开资料估计,受影响本地教育机构可能超过10家。其中,职总恒习、新加坡国立大学,以及新加坡管理学院已建议师生重新设置账号密码,以策安全。
美国教育科技公司Instructure开发的Canvas学习平台因遭网络袭击,上星期四(5月7日)服务一度中断,导致全球8000多个学府受影响。网络勒索组织ShinyHunters声称对此负责,并恫言若在5月12日未收到赎金将公开窃取的数据。
新加坡科技设计大学信息系统科技与设计高级讲师龚君文,是一名有30多年经验的网安专家。他星期天(10日)接受《联合早报》访问时指出,这起大规模网袭事件的影响很大,他根据黑客公开的资料及开源情报(OSINT)数据,追踪本地受波及的范围,估计受影响的本地大学、私人教育学府等机构可能有18所。
龚君文把收集到的资料通过网络仪表板(dashboard)呈现,并设置网站定时收集并更新数据,方便人们掌握最新情况。网站也提供相关信息,协助高等教育学府负责信息安全工作的人员预防和处理网安事件。
目前,已证实受此事件影响的机构包括职总恒习、国大、新加坡管理学院、新加坡社科大学,以及新加坡特许会计师协会(ISCA)。
主要面向成人学员的职总恒习星期六(9日)在官网上发布声明说,已获知Canvas平台遭袭事件,但指出对学员的影响不大。
“我们只使用Canvas发布课程资料与评估测试。储存在平台的信息只限学员的名字和电邮地址,和只向非常少数学员收集的手机号码。”
Canvas平台已恢复服务。职总恒习会密切留意情况,强调会继续谨慎保护学员个资,并提醒学员重新设置密码,对任何可疑电邮或自称与Canvas有关的链接保持警惕。
此外,ISCA发言人星期天回复《联合早报》询问时说,据目前评估,可能会受影响的数据只限于同Canvas平台有关联的名字和电邮地址,没有证据显示身份证号码等敏感信息被泄露。
发言人强调,ISCA的核心系统、运营和内部系统不受影响。机构的培训和会员服务也没有中断。过去一年,ISCA正着手让数码学习服务过渡至内部管理系统。ISCA咨询法律顾问后,会向新加坡个人资料保护委员会通报事件,并会继续加强网安措施。
另一方面,新加坡管理学院以及国大分别在星期六和星期天,在发给学生的电邮中建议他们更新Canvas账号的密码。
国大在电邮中也指出,Canvas平台5月11日至14日限制登录,只允许指定用户进入平台进行重要学术和运营工作,过后会评估是否延长这项限制。这是为避免未经许可的登录活动。
国大星期六回复《联合早报》询问时说,已与开发Canvas的Instructure取得联系。据Instructure评估,除了用户的姓名、电邮和学号等数据泄漏之外,其他敏感的个人信息,例如登录凭证并未泄漏。
龚君文认为,大学建议师生重新设置密码是谨慎的做法,这可避免不法之徒利用任何资料外泄的情况,掌握到相关密码后趁虚而入,进入学校系统。
他也提醒受影响用户提防不法之徒可能会借Canvas平台曾遭网袭之名,所发出的钓鱼电邮。用户一旦打开这类电邮,可能会下载恶意软件,引发更多网安风险。
