2026年5月,全球逾9,000所院校使用的Canvas網上教學平台疑遭大規模入侵,香港理工大學、科技大學、演藝學院等五間本地機構相繼向私隱專員公署通報資料外泄。超過四萬二千名理大學生及員工的姓名與電郵地址,就在一夜之間落入黑客手中。
不是技術太弱,而是架構先天有缺陷
今次事件引人深思之處,並非院校的疏忽,而是整個雲端軟件加密模式的結構性弱點。Canvas是一個廣泛信賴的第三方平台,但事實證明,資料一旦上傳至外部伺服器,用戶便失去對數據的最終掌控權。
香港資訊科技商會榮譽會長方保侨一語道破核心問題:「教育機構即使核心系統未必失守,第三方平台一旦出問題,學生及教職員資料一樣可能外泄。」這正是全球無數機構面對的共同困境——資料安全,被外判了出去。
Canvas是軟件加密架構的典型代表:明文或僅作簡單加密的資料,存放於第三方平台的雲端伺服器。平台遭攻擊,資料即外泄。用戶對密鑰毫無控制,對數據去向一無所知。 |
這次泄露的,不只是姓名和電郵
有人說:「只是姓名和電郵,又沒有密碼,問題不大。」然而方保侨的警告不應被輕視——這些資料足以被用於釣魚攻擊、冒名登入,乃至精準詐騙。在AI技術高度普及的今天,一個姓名加電郵,就足以偽造一封以假亂真的「校方通知」。
更值得關注的是,此次事件波及範圍涵蓋課程記錄、成績資訊及內部通訊,而部分院校至今仍「未確定受影響人數」。資料外泄的真實規模,往往要到黑客開始活動後才真正浮現。
Canvas事件暴露的三大結構性風險
⚠ | 明文上雲,密鑰不在自己手中 軟件加密平台的密鑰由服務商管理。服務商一旦遭攻擊或配合司法查詢,原文隨時可被讀取。 |
⚠ | 第三方風險無法被核驗 機構將資料交予外判平台後,對其安全標準、漏洞修補進度及事件響應能力,幾乎沒有任何實質監察能力。 |
⚠ | 合規認證不等於資料安全 Canvas母公司Instructure持有行業認證,卻仍遭大規模入侵。合規是底線,不是天花板。 |
硬件加密,才是真正的架構壁壘
DVT數字金庫的設計邏輯,從根本上迴避了Canvas式的結構性漏洞。其核心理念只有一句話:原文從不上傳,密鑰永遠在你手中。
DVT採用自主研發的PCIE密碼卡,在本地設備完成AES-256及國密SM4雙標準加密後,才將密文同步至雲端。雲端儲存的,是任何人都無法解讀的密文——即使伺服器遭到入侵,黑客拿到的,也只是一堆毫無意義的亂碼。
而密鑰的保管,則由物理UKey密盾完成。沒有這枚實體硬件,任何人——包括DVT本身——都無法解密你的資料。這意味着,即使出現如Canvas般的第三方平台入侵事件,攻擊者也無從獲取任何可用的資訊。
功能維度 | DVT 數字金庫的對應能力 |
加密方式 | PCIE硬件晶片加密,本地完成,原文不出門 |
密鑰掌控 | UKey密盾實體持有,物理層面保障,失盾則失讀 |
雲端儲存 | 僅存密文,伺服器被攻仍無可用資料 |
合規支援 | 香港PDPO合規,ISO 27001認證進行中 |
教育機構、專業人士,你們值得更好的選擇
今次Canvas事件的受害者,是大學教職員、學生,以及信任了那個平台的每一個人。他們沒有做錯任何事,只是使用了一個被廣泛信賴的工具。但在當前的威脅環境下,「信賴第三方」本身就是一種風險。
香港有超過34萬中小企業、10萬高淨值人士,以及160萬律師、會計師、醫生等專業人士。這些群體所處理的,往往是比學生成績更為敏感的商業合約、客戶資料、財務記錄。如果連大學都無法保護學生的電郵地址,我們有什麼理由相信,把企業核心資料放在軟件加密的雲端,就能安然無恙?
Canvas事件不是個案,而是一個信號。資料安全的答案,不在於選擇更可信賴的第三方,而在於從架構上消除「第三方可以讀取你的資料」這個可能性。
這,正是硬件加密存在的意義。
資料來源:《香港01》,2026年5月8日,〈網上教學平台Canvas疑遭攻擊 私隱公署接5本地機構資料外泄通報〉。本文觀點僅供參考,不構成法律或財務建議。
聯絡我們:www.sest.com.hk | info@sest.com.hk
DVT數字金庫 · 超過20年晶片級加密技術累積資料主權,從現在開始。
估計損失高達-19-億英鎊,為英國歷來之最.jpg)