網傳樂善堂梁銶琚中一生入侵內聯網 消息:只盜用教師電郵帳戶

撰文:馬煒傑
出版:更新:

網上昨日(26日)流傳西營盤樂善堂梁銶琚書院的一名中一學生,向校內師生發送電郵,發現學校電腦系統服務器存在漏洞和後門,警告給若不給予學生在電子教學平板電腦自由下載或者卸載行動裝置(MDM)管理權,就會入侵學校的「所有嘢」。「黑客」指校方是不可能捉到他,又指組織有7個成員,更揚言即使校長的帳號都可以輕鬆破解,

校方表示在調查後,發現寄件人盜用一位教師的學校電郵帳戶發出上述的郵件,「表達對學校一些措施及活動的意見」。校方已於昨日上午採取行動,以確保學校的保密資料系統不受干擾,並於同日下午報警。消息指有關「黑客」只盜用教師電郵帳戶,未有入侵電腦系統。

近日網上流傳,樂善堂梁銶琚書院的一名中一學生,向校內人士發送電郵指出學校服務器存在漏洞和後門,要求給予學生自由下載或卸載行動裝置管理(MDM),否則會入侵學校的「所有嘢」。(中學概覽圖片)

要求開放平板電腦下載或卸載管理權

近日網上流傳一封疑為樂善堂梁銶琚書院內聯網電郵截圖,顯示一群自稱「ShadowLST」的中一學生,發現學校的電腦伺服器有兩個錯誤,成為入侵漏洞,警方校方如不給予學生自由下載或者卸載行動裝置管理權(MDM),就會「hack(入侵)學校的所有嘢」。

「ShadowLST」又強調系統能夠被一名中一學生破解,證明系統每年要收學生70元作為行動裝置管理費用是完全沒有任何意義,認為校方應先問家長是否需要學生安裝行動裝置管理,然後再作決定。

行動裝置管理權禁平板電腦下載遊戲

據了解,「黑客」所指的行動裝置管理權(MDM),是安裝在電子教學平板電腦,一方面用來發放教材,另一方面禁止學生下載遊戲等程式,同時有方便遺失時找尋的GPS追蹤功能。該系統由本地大學開發,不少學校都有使用,過去曾有學校的學生成功解鎖。

「黑客」在電郵中又批評學校政治立場嚴重,指「甚至英語周是關於中國的」,認為校方「好似會強制將中國放入大腦」,令其非常不舒服,期望可教更多中立的知識,指「我們不是機器,不需要在我的大腦中編寫程序和洗腦」,又強調並不討厭中國或任何國家,只是討厭英語都是關於政治。

聲稱「黑客」組織有七人 「指揮官」IQ達136

電郵中最後提及,「ShadowLST」有七個成員,當中包括兩個黑客、三個硬件工程師、一個智商(IQ)136的指揮官及一個社交工程師,又揚言可以破解一切,即使學校校長的帳號都可以輕鬆破解,揚言校方是無可能抓到他們。

該校IT組主任向全校發出電郵,指發現有駭客發出一封警告電郵,並澄清「並非由本校教師發出」;又指校方將嚴肅跟進事件,提醒學生應立即刪除該可疑電郵,亦禁止學生轉發並不應回覆。

據了解,校方暫只發現有人盜用教師電郵帳戶,電腦服務器系統未有受到黑客入侵;至於是否學生所為,仍在調查中。

網上同時流傳一封為校內IT組主任發出的電郵,指校方將嚴肅跟進事件,同學應立即刪除該可疑電郵,亦禁止學生轉發並不應回覆。

校方昨已報警 將加張網絡系統安全

校方表示,部份教師及學生於昨日凌晨時分,透過學校電郵系統收到一封題為「the last warning」的郵件。學校調查後,發現寄件人盜用一位教師的學校電郵帳戶發出上述的郵件,「表達對學校一些措施及活動的意見」。

校方已於同日上午採取行動,以確保學校的保密資料系統不受干擾,除了加強網絡系統的維護及登入權限之外,並於同日下午報警。現案件已交由警方處理及調查,暫未能透露事件詳情。該校會尋求更專業的技術支援,進一步提升學校的網絡系統安全,「加強全體師生及教職員工的資訊科技素養,使之能善用科技,回饋社會」。

警列案件為「有犯罪或不誠實意圖而取用電腦」處理

警方表示,昨日接獲區內一所學校通知,指收到一封可疑電子郵件,稱學校服務器遭黑客入侵。學校職員其後到中區警署報案,案件列作有犯罪或不誠實意圖而取用電腦,交由中區警區刑事調查隊第五隊跟進,暫未有人被捕。

電腦專家:一般學校內聯網防黑客能力都很弱

黑帽子大會亞洲區評審暨電腦安全研究員賴灼東指出,本地的教育系統當中都有不少嚴重的漏洞,不少更存在多年並且一直無認真修補,以致系統千瘡百孔,令中小學的內聯網很容易便被入侵,他更直言漏洞之多讓一個中一學生要入侵系統絕非不可能。

至於校方回應指寄件人盜用一位教師的學校電郵帳戶發出郵件,賴灼東解釋除非教師抄下登入帳號及密碼後被看到,否則必定是透過漏洞在系統中找到登入資料。另外,他亦提到一般學校內聯網防黑客的能力都很弱,只要透過漏洞便可以隨便下載當中的檔案,不論學生、教師以至校長的資料都一覽無遺。

賴灼東質疑為何經過這麼多年學校內聯網的漏洞都無人修補,認為監管不足,同時亦無足夠的資源及人手進行修補工作,加上教育系統被承辦商壟斷多年,缺乏系統資訊、系統安全審計和管理,教育局亦無能力去進行評估,結果令問題存在多年都未有解決。