面對AI掀起的第三波浪潮，許多國家紛紛制定國家級AI策略，比如英、美、法、德、日本和南韓等，不只著重AI研究發展，還要將AI知識帶入產業中。而臺灣也在去年推出AI行動計畫，鎖定5大領域，要將產業AI化。

然而，要導入AI至企業，仍有許多困難待克服。以工業發達的德國來說，「99.5％的中小型企業仍難以獲得產業AI應用的資訊，」德國聯邦經濟暨能源部局長Andreas Hartl日前來臺時說道。在德國，這個百分比相當於350萬家企業，在他眼中，這就是產業AI化的最大瓶頸之一。

6年砸30億歐元助攻AI策略，靠24個國家級研發中心來協助企業轉型

Andreas Hartl指出，這個問題的根本，在於德國的基礎研發能力雖然強，但卻鮮少實際應用於產業中。為解決這個問題，德國政府去年11月提出了國家級的AI策略，並規畫30億歐元預算，要在接下來6年中，將AI知識轉移到中小型產業的應用層面。

德國政府推行產業AI化的第一步，就是利用現有的網路平臺，來建立產業應用AI的最佳範例，提供中小型企業實戰經驗和參考方向。

再來，德國政府鎖定人才技能，以現有的24個大型研發中心（Center of Excellence）為基礎，增設新任務，來協助企業將其商業模式數位化，並提高中小型企業人才的AI技能。Andreas Hartl解釋，中小型企業可先選定4至5個想發展的AI專案，再透過這些中心派出AI專家（AI Trainers），來提供企業顧問服務和技術支援，除了能增加企業員工的實務經驗，也能協助導入AI。「目前的成果是，這些企業改變了商業模式，以服務（Service）為導向。」而德國的目標，是要每年協助1,000家中小型企業轉型。

除此之外，德國政府也鼓勵AI創新，今年就利用了1億5千萬歐元預算來舉辦創新挑戰賽（Innovation Challenge），號召全國的教育機構、研究人員、新創和企業等，來一起發想可行的AI專案、創造新的生態圈。其中，「政府已選出12項AI專案，也將於接下來幾天公開宣布，」Andreas Hartl表示。

政府推動公私部門開放資料，讓產業AI化更進一步

德國推動產業AI應用，不只從技術研發和人才訓練著手，也同時推動開放資料（Open data），因為「資料是打造AI模型的關鍵。」

德國政府推動開放資料可分為公私部門2部分，在公部門方面，德國政府考慮擬定新法，來要求政府單位未來都必須提供開放資料；同時，政府也打算設置一個開放資料平臺，來收集公私部門的資料，並透過不同AI方法來分析資料，以協助決策制定。

在私部門方面，德國政府也已著手起草一項標準，要來管理開放資料的建立方法。這個標準的目的，是要讓資料提供者釋出高質量的資料，讓使用者容易查找和使用。文◎王若樸

08/30~09/13精選IoT新聞

 自駕車   工研院  

交通部核發全國第一張自駕車試車牌，由工研院自駕車隊奪得

交通部近日正式核發全臺第一張自駕車試車牌，由工研院拿下，可以合法在開放道路上進行自駕車測試。負責自駕車上路測試的工研院機械所數位長王傑智，也在第一時間於個人臉書上宣布這個好消息，並貼出一張含有「試0001」號碼的自駕車車牌的相片。工研院從今年3月率先提出自駕車的開放道路申請，但是直到最近才終於取得試車牌，總共花了近半年、多場審查，交通部才准許進到開放道路測試。在早之前，工研院也已經通過臺南沙崙封閉場域的道路測試，並將實測結果提交主管機關。工研院機械所自4年前就開始投入國產自駕車研發，至今已經開發多臺自駕車組成自駕車隊，實際在工研院新竹院區測試，至今測試里程更已達到2,000公里。取得車牌後，工研院計畫將在新竹地區以Chrysler Pacifica改裝的自駕車來進行為期1年道路測試，以便讓自駕車可以熟悉各種臺灣道路環境。這些測試項目，除了有偵測路面標線、辨識交通號誌與路口判讀等基本路測外，也將加入更複雜的人車混流的情境，以及自駕車隊測試，來考驗自駕車反應能力。

 自駕車   Waymo  

Waymo正在設計和測試改良自駕車系統，以提高在雨天安全行駛能力

自駕車碰到下雨天時，感測器將會難以運作，容易導致自駕車失靈，但是如果要發展自駕車，就不得不把天候因素考慮進來，即使已經推出商用自駕車服務的Waymo也不例外。近日，該公司也透露正在設計和測試改良自駕車系統，以便在最惡劣的雨天環境中安全可靠地行駛，Waymo表示，初期將以克萊斯勒Pacifica與Jaguar I-Pace兩臺自駕車先在佛州的那不勒斯（Naples）的封閉道路上進行為期數周的雨天測試，之後，也將前往適逢雨季的南部地區測試車上感測元件，包含光達、雷達與攝影機，以量測這些感測器將如何受到雨勢的影響。本月稍晚也將在邁阿密公路上測試，蒐集大雨中真實駕駛情況的數據，來持續改善自駕車在雨天的行駛能力。除了多雨環境的測試，目前也有針對如濃霧或沙塵土石的地區進行相關測試。

 IoT安全   資安  

資安人員揭露確認IoT裝置所在位置的中國製GPS追蹤器存有漏洞，恐洩露60萬用戶即時地點

常見許多IoT裝置確認所在位置的GPS定位感測器，也可能洩露使用者的即時位置。防毒軟體廠商Avast Threat Labs研究人員近日發現中國廠商深圳365科技（Shenzhen i365 Tech）生產的GPS追蹤器，存有多項漏洞，使得近30款產品、高達60萬用戶的即時地點等資訊可能被陌生人掌握、甚至可讓駭客竊聽追蹤器所有通訊內容。這款中國製GPS追蹤器已被使用於許多追蹤兒童、寵物、家中長輩所在位置的IoT產品，經由Amazon、eBay等大型通路行銷全球。由於GPS追蹤器在網站登入機制上有安全缺失，可能導致使用者的帳號被接管或位置資訊曝光。研究人員在發現產品漏洞後，於6月24日通知相關廠商，但二個月以來皆未收到任何回應，因而對外揭露該漏洞。

 Sigfox    IoT通訊網路 

Sigfox與日本老牌電器Alps Alpine結盟，要讓更多日系電器產品連網

物聯網通訊網路商Sigfox近日與日本老牌電子大廠Alps Alpine簽署了合作協議，計畫將Sigfox推廣到更多該公司生產的物聯網電子用品中。Alps Alpine主要以電子設備生產為主，包含感測器、HMI（人機介面）、交換器和汽車、工業與手機連接設備。就這次結盟，Sigfox也將允許Alps Alpine能夠參與自家研發專案，共同開發新服務，包括開發小型、低成本設備與新的能源蒐集技術。雙方目前已將Sigfox先用於開發Bubble Beacon裝置，可放置在托運行李箱上，追踪其在機場所在位置，避免行李遺失。

IoT裝置安全    Amazon   

提高智慧家庭裝置連網安全，Amazon eero發表智慧家庭安全服務

針對智慧家庭裝置連網安全，Amazon年初收購的家用網狀路由器eero，在日前發表兩項安全加值服務：eero Secure與eero Secure+，可用來過濾內容或是阻擋惡意程式。其中，標準版的eero Secure提供的是基本安全功能，每月訂閱費用為2.99美元，它能在使用者造訪含有惡意內容的網站時，跳出警告或執行封鎖，也能過濾不適當的內容，或是封鎖廣告，檢視使用該網路的所有裝置，還會提供每周的洞察報告。至於進階的eero Secure+每月訂閱費用為9.99美元，除了上述功能之外，還額外提供1Password密碼管理功能與encrypt.me的VPN功能，以及支援Mac與Windows的MalwareByte防毒功能。

智慧家庭   Google   

Google Assistant新增環境模式可將裝置變成智慧螢幕

Google在近日替自家Google Assistant語音助理新增環境模式（Ambient Mode），可在充電的Android裝置上展示視覺化的畫面，把它們變成智慧螢幕。該功能將率先支援聯想的Smart Tab M8 HD、Yoga Smart Tab，以及Nokia 7.2/6.2等平板電腦裝置。當啟用環境模式時，就算是在裝置螢幕上鎖的狀態下，它還是能秀出通知與提醒，也能開啟播放列表，或是控制家中的智慧裝置。在完成相關任務之後，它還會自動連結至使用者的Google Photos帳號，以幻燈片形式播放照片，讓裝置搖身一變成為數位相框。不過，該模式目前只適用於特定的裝置，並未支援所有內建Google Assistant的Android產品。市調 IoT端點裝置

市調    IoT端點裝置   

Gartner預測2020年全球企業及車用IoT端點裝置數量將達58億個

市場研究機構Gartner在最近一分全球企業與車用IoT市場報告提出預測，指出2020年全球企業用及車用IoT端點裝置數量將有顯著成長，將從2019年的48億個，到了2020年將提高達到58億個，其中又以北美、大中華和西歐成長幅度最多，合計可望拿下整體市場營收的75%。2020年北美地區營收將達1,200億美元，大中華區居次為910億美元，至於西歐則以820億美元排第三。除此之外，該調查也指出，公共服務將是2019年使用最多IoT端點裝置的行業領域，總計達到11.7億個，2020年更將獲得17%成長，達13.7億個。進一步以使用型態來看，消費性連網汽車、連網列印及複印這兩類，將是2020年該市場營收的主要來源。。責任編輯⊙余至浩

圖片來源／王傑智、Google、eero、Waymo

 更多IoT動態 

1.Google智慧門鈴Nest Hello的訂閱服務，開始提供包裏偵測功能

2.中國叫車服務商滴滴出行的無人計程車服務將在上海試運行

3.Bose推出可支援Google語音助理、Alexa的全新智慧喇叭，售價349美元

4.高通計畫中高階Snapdragon晶片都將整合5G數據機，可望加速5G普及

資料來源：iThome整理，2019年9月

資安業者Secureworks上周指出，由伊朗政府掌控的駭客集團Cobalt Dickens在今年7、8月間再度鎖定全球大學展開網釣攻擊，企圖竊取大學的智慧財產，光是這兩個月就有超過60所大學被Cobalt Dickens鎖定。

分析顯示，Cobalt Dickens至少從2017年就開始從事這類的網釣攻擊，該集團利用可公開取得的工具展開攻擊，複製目標大學的登入網頁，迄今已有超過30個國家的380所大學遭到攻擊，有些大學還被重覆攻擊多次。

在Cobalt Dickens所寄出的網釣郵件中，宣稱使用者的圖書館帳號已經過期，並附上連結，將使用者引導至另一個網站進行登入，才能取回圖書館服務的存取權。

而該連結網頁看起來就像是圖書館的登入頁面，在使用者輸入憑證之後，憑證一方面落入駭客之手，另一方面也會將使用者導至正常的校方網站，讓受害學生遭駭之後完全無法查覺有異。

在今年7、8月的攻擊行動中，Cobalt Dickens註冊了20個新網域名稱，鎖定逾60所大學，它們分別座落在美國、英國、加拿大、香港與瑞士，當中的許多網域都使用了有效的SSL憑證，以讓它們看起來更為真實，且絕大多數都採用由Let's Encrypt所發行的免費憑證。

研究人員以各種高階開發語言，包括Rust、Go、Java以及C#，為英特爾ixgbe的10 Gbit/s網路介面控制器（NIC）系列，開發了用戶空間網路驅動程式ixy，ixy沒有相依性且執行速度快，能讓開發者快速地用來建構應用程式。而不同語言實作ixy，則可以被用來比較每種語言的效能。

研究人員在論文中比較3.3 GHz雙向轉發效能（下圖），發現Rust實作雖然處理每個資料封包，比C實作執行還要多63%的指令，但是速度只慢了4%，C的效能表現仍是所有語言之冠，但研究人員提到，背後的原因是Rust應用了邊界檢查（Bounds Checking），但是C語言沒有，另一個原因則是，C在DMA緩衝區不需要包裝器物件。

而除了Rust以及C，Go語言也表現良好，特別是垃圾回收器在極重的工作負載下，依然能以低於100微秒的延遲執行（下圖）。研究人員也提到，Rust能夠用來開發安全的驅動程式，因為Rust使用基於所有權的記憶體管理，比起使用基於垃圾回收的語言，能夠在不影響延遲的情況下，提供更多安全的功能，但是如果應用程式可以忍受因垃圾回收所造成亞毫秒級的延遲，那Go和C#也是用來開發驅動程式的好語言。

官方正式發布代號為Thessaloniki的GNOME 3.34，加入許多功能改進，包括讓使用者能更簡單地創建應用程式資料夾，桌面背景設定介面以及效能也有所改善。

GNOME 3.34在應用程式全覽中，加入簡單創建應用程式資料夾的方法，使用者可以使用與iOS相同的操作方法，將應用程式拖拉到另一個應用程式的圖標上，即可創建資料夾，而將所有圖標拖拉出資料夾後，該資料夾會自動刪除。

過去引人詬病的桌布選擇介面，在這個版本也獲得重新設計，使用者現在能以更直覺地方式點選並預覽桌布呈現，而不需要進行額外的設置動作，另外，點選圖片現在也會有新的選單，供使用者將圖片設定為主畫面、鎖定畫面或是兩者的桌布。

而在每個GNOME發布資訊都會提到的效能改善，在3.34版本將會很有感，特別是使用者在開啟應用程式時，依然能擁有順暢的操作體驗。對於開發人員來說，GNOME 3.34在分析工具Sysprof加入了更多的資料源，讓應用程式的效能分析更簡單。

於1999年9月15日正式發表的Wi-Fi標準，在本周日（9月15日）滿二十歲了，它從由6家公司創立的標準到現在已幾乎遍布全世界，成為現代人不可或缺的無線傳輸標準，而且還在持續進步中。

在1999年誕生的Wi-Fi標準算是後起之秀，因為同為無線網路傳輸標準的前輩HomeRF標準早一年就已問世，HomeRF取得了摩托羅拉及西門子等上百家企業的支持，但因不敵Wi-Fi，而在2003年宣布解散。

推動Wi-Fi標準的組織在1999年創立時，原本命名為「無線以太網路相容性聯盟」（Wireless Ethernet Compatibility Alliance），且當時尚未訂定Wi-Fi名稱，一直到2000年才確定Wi-Fi名稱，同時將組織更名為Wi-Fi聯盟（Wi-Fi Alliance），同年也發表第一波通過認證的Wi-Fi產品，當時Wi-Fi網路每秒最快傳輸能力只有11Mb。

2002年時Wi-Fi聯盟的成員擴增到100名。2004年時首波通過Wi-Fi認證的手機與電視上市，新增WPA2安全機制，也是第一次在商業飛機上導入Wi-Fi服務。而Wi-Fi這個詞，也在2005年被納入韋氏字典（ Merriam-Webster’s Collegiate Dictionary）。2007年的Wi-Fi傳輸速度，已達到每秒150Mb。在2009年全球的Wi-Fi裝置出貨量，達到10億里程碑。

2011年時，全球已有100萬個Wi-Fi熱點，而Wi-Fi聯盟成員則已成長至500名。2012年時，全球有25%家庭擁有Wi-Fi，全球累積Wi-Fi裝置出貨量已超過50億。全球Wi-Fi熱點數量在2013年超越500萬個。2014年時通過Wi-Fi認證的產品數量達到2萬個，累計Wi-Fi裝置出貨量超越100億個。

2017年的Wi-Fi裝置出貨量突破200億，Wi-Fi聯盟會員數超過800個，當年的新建築開始整合Wi-Fi。2018年Wi-Fi產業的全球規模達到2兆美元，正式以Wi-Fi 4、5、6來命名802.11n、802.11ac與最新的802.11ax，通過Wi-Fi認證的產品數量已有4.5萬個。

今年全球Wi-Fi裝置的出貨量已達到300億個，亦開始迎接Wi-Fi 6時代的到來。

在iThome電腦報週刊的內容當中，每年幾乎都會進行的一項問卷調查，就是CIO大調查，而從2017年起，增設了臺灣企業儲存大調查，最近我們也著手進行另一項新的調查──2019臺灣企業雲端大調查，期望透過這樣專屬的問卷形式，讓大家深入了解臺灣企業目前如何使用雲端服務，未來若能長期進行這樣的調查，也能呈現出每年的狀態與變化。

這項線上問卷調查目前已經開始，敬邀企業IT部門主管、開發團隊主管、維運團隊主管、雲端平臺開發或維運主要負責人熱烈參與。問卷填寫至9月30日截止，預計公布統計結果的時間和場合，是10月15日舉行的2019 AWS Transformation Day Taipei大會上。

事實上，關於臺灣企業採用雲端服務的意願，我們已經追蹤了將近10年。早在2010年的CIO大調查，就開始提出詢問，而根據當時的統計，只有1成企業會實際採用雲端運算（包含已經採用者、1年內導入者、計畫編列預算者）。

在2011年，我們探討私有雲在各產業導入的狀況與意向，以及外部公有雲服務的用途。2012年，34.6％的臺灣企業建置私有雲，導入公有雲與混合雲的比例則為1.8％、4.1％。到了2013年，私有雲的採用比例達39.6%，公有雲則上升到4.2％，混合雲則是3.7％。

時至2014年，我們看到2013年有意採用雲端服務的臺灣企業，已突破一半的比例，而在這些企業當中，採用私有雲的比例是73.7％，比前一年（2012年）下滑近1成，公有雲為14.4％，混合雲則是11.9％，成長趨勢日益顯著。此時，我們也開始調查企業在私有雲採用不同IaaS平臺的比例。

在2015年，有意採用雲端服務的臺灣企業比例增長為53.4％，採用私有雲略微下滑至71.4％，公有雲為15.3％，混合雲則是13.3％。

到了2016年，採用雲端服務的臺灣企業，已接近6成，採用私有雲的比例下滑至66.9％，採用公有雲的比例首度下滑（10.3％），混合雲的採用則暴增至22.8％。此時，我們也開始調查臺灣企業在公有雲採用不同IaaS的比例，並且探討臺灣企業數位轉型的現況（雲端服務是企業推動數位轉型的關鍵技術）。

在2018年的CIO大調查當中，雲端服務已躍居臺灣企業的第二大重點投資項目（僅次於資訊安全。），平均為727萬元，比2016年增加了1倍以上。而到了今年，我們看到雲端服務成為第三大重點投資（被物聯網超越），臺灣企業平均投入的金額為696萬元，雖然略微下滑，但在政府機關與學校、服務業、醫療業等產業，仍是數一數二的重點投資項目。

從近幾年的CIO大調查結果，其實，也可看出我們逐漸把重心放在數位轉型的探討，而有了今年新發起的臺灣企業雲端大調查，能讓我們更專注觀察雲端服務的採用現況。

畢竟，對企業而言，雲端服務的面貌與應用方式持續在變化，甚至與其他技術的發展都有密不可分的關係。同時，企業採用雲端服務的動機越來越複雜，現今雲端服務的架構與功能不斷改良、擴增，幾乎到了無所不包、無所不在的程度，因此，若純粹以雲端服務的使用做為主要觀察分析的對象，也能洞悉現今企業IT應用發展的主流趨勢。

台灣金融服務業聯合總會（簡稱金融總會）設立的金融科技創新園區FinTechSpace，成立屆滿一周年，也趁機展示過去一年成果，更找來進駐該園區的團隊，分享如何借助園區的資源，強化產品及服務。

金融科技創新園區作為臺灣首座金融科技實體共創空間，首年，共吸引76個單位進駐，包含47家國內新創，像是提供手機記帳App「麻布記帳」的睿元國際、開發借貸平臺「聰明貸款」的高文創意等，還有6家國際新創，比如說，來自日本東京的富訊金融，另外，有12個校園課程合作，還有1家國際加速器，以及1家國際交換進駐。金管會主委顧立雄表示，該園區承載產、官、學、研界的期許，預見在我國金融科技的進展上，扮演的角色將越來越重要。

進駐金融科技創新園區的53家新創公司中，已有1家公司登錄創櫃板，那就是經營聊天機器人平臺的安永金融。去年上半年，該公司通過資策會創櫃板申請審查會議後，經過近1年的輔導，包含了會計制度及內部控制等項目，再通過審查，於5月中，已登錄創櫃板，預計明年1月進行公開募資計畫。金融總會秘書長吳當傑期許，安永未來能進一步上櫃，甚至成為上市公司。

此外，園區內有5家新創公司，獲得逾百萬美金的投資，包含艾斯移動、好好投資、臺灣盈士多、群馥和Caulis，還有11家新創市值超過1億新臺幣，服務屬性橫跨投資理財、借貸、支付、身分識別及區塊鏈。

園區內更有許多新創公司提出金融科技的專利申請，共計20項申請案件，其中有8項已獲專利權的認證許可，而屬借貸性質的服務，占全部申請案件的比例逾5成。且園區團隊參與國際競賽屢傳佳績，總計抱回25個獎項。

園區團隊與外部單位的合作，也是金融科技創新園區階段性成果的一大亮點。過去一年，園區團隊累積了40項與外部單位合作的專案，合作類別分為3大層面，包含產品、業務推廣和技術，國內金融業者包含銀行、證券或保險，以及政府單位為新創主要合作的機構，另外還有金融科技業者、學術單位、公協會等。

吳當傑以推出不動產自動估價平臺「好時價」的安富財經為例，該公司與5個不同的政府單位，像是桃園市政府、臺北市政府、內政部等合作，另外，大數據分析新創智囊團，也與桃園機場捷運合作，提供乘客找尋正確出口的手機App 「EXIT.ROCKS」。

除此之外，共有9個企業於園區設立「企業實驗室」，作為金融科技產品及服務進入市場前的實驗場域，進一步與新創進行跨領域交流及合作。9家參與企業中有7家為金融機構，包含台新金控、華南銀行、中國信託等，另兩個企業為悠遊卡公司和微軟。吳當傑當場另宣布，玉山銀行成為最新一家企業實驗室的成員，現共有10個企業實驗室。

園區建開放金融API數位沙盒實驗環境，4組創新實證已商轉

該園區建構開放金融API數位沙盒實驗環境，也有階段性成果，目前有14家API供應商，包含中國信託、凱基銀行、證交所等金融機構，還有微軟、大同等，提供23組標準規範API，其中16組完成上架。透過這些標準規範API，進駐團隊產出了20項創新實證成果，更有4組已商轉簽約，像是睿點行動的發票存摺App取得了中國信託紅利支付API，用於紅利點數歸戶，再加上取得凱基銀行生活繳費API，用於帳單總歸戶。

睿點行動暨睿元國際於今年2月進駐園區，進駐園區前，平均需花8個月，與銀行開發服務，睿元國際執行長陳振榮指出，加入園區後，透過園區與銀行媒合，發票存摺與中國信託串接API，5天即完成園區封閉測試，進入商轉。

不過，金融科技創新園區最受矚目的成果莫過於，由身為金融科技創新園區指導單位的金管會，進駐園區提供的「監理門診」服務。金管會每周指派旗下銀行局、證期局、保險局等之監理人員，進到園區，提供園區團隊相關法遵諮詢與輔導服務，建立常態性官產對話機制。金融總會理事長許璋瑤指出，監理門診是最受進駐單位重視的服務。

74場監理門診，輔導了4家團隊申請監理沙盒

金融科技創新園區至今舉辦了74場次的監理門診，超過41家進駐單位掛號問診，後續有25個單位，回診諮詢，並輔導4家團隊申請監理沙盒。透過該機制的交流，顧立雄指出，可讓主管機關及早了解金融科技的發展趨勢，以及可能存在的風險，也讓業者可快速調整商業模式，適應監理框架，創造雙贏。

陳振榮提到，睿元國際參與了兩次監理門診，進一步了解到，金融業最關注的資安、消保、風控和KYC等相關資訊。經金融總會統計，新創就診最常涉及的議題有5大項，產創合作、證執照、信託、 徵信和身分識別，而問診內容最常涉及的法條則有3條，首先是銀行法第29條，規範非銀行不得經營收受存款、受託經理信託資金、公眾財產或辦理國內外匯兌業務，還有公司法第15條，有關公司資金貸與股東或他人的規範，以及個資法。

園區也將問診團隊經常諮詢的問題，整理製作成問答集，於園區的官網公布，提供新創團隊參考。現階段，問答集有4大類，分別是有關證券、投信、投顧服務，以及有關支付、匯兌、借貸服務，以及保險服務和監理沙盒機制。吳當傑指出，該服務可減少法規遵循的成本。

而台灣集中保管結算所（簡稱集保所）了解到園區許多新創的產品，皆與證券有關，因此集保所董事長林修銘也宣布，集保所正計畫進駐園區，設立服務窗口，與金管會一同了解，新創團隊的需求，他強調，在合乎法規的前提下，要以最低成本，創造即時、有效的監理。

國際合作方面，金融科技創新園區與7個國際夥伴簽訂金融科技MOU，包含英國、法國、澳洲及波蘭的官方駐臺機構。吳當傑表示，國內金融創新遭遇痛點時，可以引進國外解決方案。

被日本經濟新聞評為下一個日本新創獨角獸的富訊金融，為今日進駐園區的國際新創代表。富訊金融總經理蔡京翰表示，該公司於日本推展的存網路證券服務，希望能落地臺灣，現階段，透過園區內的企業實驗室，與台新證券展開合作。

而關於上周金管會發表開放銀行的三階段措施，提供智慧理財平臺的好好投資，其創辦人楊紹銘認為，未來將有特定機關查核TSP業者，是否具串接銀行資料的資格，他表示，該單位的設立有其必要性，他視為公共基礎建設，除了可快速提升TSP業者的信任感，更可保障消者的權益。

兩大發展重點，推動新實證及國際合作

展望第二年，金融總會將聚焦兩大重點，首先，持續推動跨域創新實證，園區將與台灣網路認證合作，透過行動身分識別服務Mobile ID，與數位沙盒進行串接，進而與進駐團隊發展數位金融服務，還有開放銀行與財金的合作，將進行數位沙盒串接；其次，深化國際合作，與香港數碼港合推「台港雙向軟著陸計畫」，兩方將各自推派4家新創團隊，交換進駐，協助雙邊市場落地。

「創站那一天的日記」是全臺最大電玩資訊平臺創辦人陳建弘Sega心中最重要的終極法寶。

每當公司經營面臨困難、抉擇和迷惘時，他就會重讀一次，23年前巴哈姆特BBS創站那一天，在日記中一字一句的忐忑點滴，提醒自己莫忘初衷，「這件事很重要，這正是讓這家成立20多年，經歷無數風風雨雨的老牌電玩資訊網路公司，直到現在，還能繼續成長與茁壯的關鍵。」Sega對著上千名工程師、技術人坦言自己最大的秘密。

23年前暑假，在一所大學資工系實驗室，有一群研究生正埋頭寫程式趕論文，但是誰也料想不到，一名年僅不過20出頭的資工研二生，因為好玩而架設的電玩主題BBS站，就藏在實驗桌座位下面一臺伺服器裡，竟催生出了全臺最大規模電玩社群網站「巴哈姆特」。

目前擁有逾250 萬會員的巴哈姆特，現在每天網站平均有超過百萬人次的不重複使用者造訪（含PC、行動裝置與App），光是單日累積就超過 2千萬瀏覽頁次。更是全臺最大的電玩遊戲與動漫討論區，截至2016年，光是用於討論遊戲、動漫的哈啦區，就已累積1,500萬篇文章，現在巴哈姆特的哈啦區，提供多達2萬6千個哈啦板，讓玩家們在板上討論各式各樣電玩文章、分享情報、攻略，以及追蹤最新動漫情報。

從小熱愛電玩也對學習程式語言抱持興趣

但有誰想到，這樣一個全臺最大規模電玩資訊網站，最初竟是誕生於一間大學資工實驗室。「很多玩家認識巴哈姆特，都以為創辦者是中華大學學生，但其實是中央資工學生創立的。」在今年8月底舉行的Modern Web 2019大會上，講到23年前創辦巴哈姆特的這段經歷時，陳建弘侃侃而談。

熟識陳建弘的友人都叫他Sega，本身也是一名骨灰級玩家的陳建弘，從小就對於電動遊戲十分熱衷。國中時期，第一次接觸到紅白機（任天堂推出的一款卡帶式遊戲機），就讓他深深著迷，幾乎整個國二、國三都在電玩遊戲世界裡度過。

也就是這個時期，陳建弘開始學習電腦接觸到BASIC程式語言，儘管，當時還在電腦發展的早期階段，但他對於寫程式很早就產生濃厚興趣，甚至還將所學與遊戲結合，靠著自學寫出一個簡易賽馬遊戲小程式，可以依亂數產生器，來決定哪隻馬獲勝，還在過年時與親戚、弟妹一起比賽下注，比看誰的馬最快達到終點。

狂愛遊戲又不滿現況，催生巴哈姆特前身的BBS

進入高中以後，他的閒暇時間都花在打電玩，「這也是我打電動最兇的時期，」陳建弘笑說，當時日本電玩大廠Sega剛好推出一臺16位元家用遊戲機Sega Mega Drive，只要把卡帶放進主機，電視機上的開頭畫面會出現這家公司的標誌，讓他不僅十分著迷，還以這個圖案在課本上到處塗鴉，後來，高中同學就幫他取了「Sega」這個外號，一直沿用到現在。

升上大學後，因為選填志願意外讓他大學讀了4年中央電機系，而非資工。但即便如此，陳建弘並沒有因此中斷對於程式熱愛，反而開始學習C語言和其他程式語言，4年後，也如願進到同校資工所就讀。另一方面，也因為對於遊戲的熱衷不減，在升上大二時，陳建弘開始利用早期架設臺灣學術網路上的BBS（電子布告欄），結交到許多來自各地電玩同好。

「第一次接觸（學術）網路，覺得很神奇，簡直棒極了。」陳建弘說，因為當時網際網路尚未普及，所以一開始很多學生都經由校園網路，來交換網路資訊，甚至借助了學術網路將全臺公立大學的BBS站串聯在一起，讓臺灣BBS開始蓬勃發展。也因為透過學術網路的連線，讓他可在BBS站上以純文字方式和他校學生對話和討論TV 遊戲，然後在自己的電腦上來呈現。只是這時，陳建弘還僅是一名BBS愛用者，還沒有萌生自行創站的念頭。

對於想要自行創業的工程師，巴哈姆特電玩資訊站執行長陳建弘也提供兩大攻略心法，一是立訂目標，二是找到自己的羅盤。

直到升研二那年暑假，一個困擾，讓陳建弘採取行動。因為當時他常去的TV Game板，因參加者太多，已經變成大雜燴的綜合討論板，對平臺遊戲也沒有清楚分類，導致不管哪個平臺的遊戲玩家，全部集中到這個板來討論，陳建弘沒辦法很快找到想看的文章。

看到這樣的現象，他決定自己創站，利用資工專長來架設一個電玩主題的BBS站，參考其他遊戲主機BBS，大量將討論主題切割得更細，甚至直接用遊戲名稱來分板，例如Final Fantasy VII或勇者鬥惡龍就是一個討論板，如此一來，讓玩家可以更深入聚焦於這個遊戲的討論，來解決不同主題的內容過於集中單一個板的問題。

不過，要架設BBS也不是容易的事，陳建弘不僅從頭開始摸索，學習如何在FreeBSD作業環境部署BBS，開始一步步把巴哈姆特前身的伺服器給架起來，同時跟其他各大BBS站完成轉信設定，讓所有在這發表的文章，在各大BBS都看得到，替自己宣傳新站，更找來熟識的各大BBS遊戲板板主來擔任他的BBS板主。從開始架站到初步完成巴哈姆特BBS站，花了他一個多月。直到1996年11 月 10 日這一天，才正式對外宣布 BBS成立。就連站名也是取自知名遊戲的龍形生物「巴哈姆特」。「巴哈姆特初代BBS就這麼誕生。」他說。

之所以想要架設這個BBS，他回憶說，最初的動機，並不是看好未來遊戲市場才成立，「而是身為玩家對於電玩遊戲的熱愛，單純想提供電玩迷們一個完全屬於自己的討論園地。」陳建弘也將成立BBS這段忐忑不安的心情記錄在日記中，他說：「每當公司經營遇到迷惘，我就會回頭重看日記，提醒自己莫忘當年初衷。」

不過，他感嘆，BBS站成立至今已23年，他最快樂的階段是成立初期，人數還不多時，隨著站上越來越多新玩家的加入，卻是他痛苦的開始。

仲裁網路吵架，讓他變成「人類行為」工程師

舉例，巴哈姆特剛開站沒多久，隔年因為獲得電視媒體報導大大增加曝光量，使得上站人次越來越多，每小時數百人同時上站，這些新手用戶，對於原本已自成一個生態的BBS，帶來了很大的衝擊，開始出現許多爭吵事件，譬如新手的發問不禮貌、發文前不看精華區等，會引發老手的不滿。

當兩個人在網上吵架，身為管理者的陳建弘得站出來對這些糾紛進行仲裁，他直言：「找程式錯誤相對容易，人的問題最難處理，」他因此開玩笑說，這也讓他從當工程師變成一位「人類行為」工程師。

除了爆量人數成長的挑戰，這時，陳建弘也面臨到了畢業、兵役等問題，要離開校園，而原本放置在他實驗室座位下的巴哈姆特BBS主機，也透過他堂弟的協助，輾轉搬到了中華大學計中來安置，他表示，幾年後這臺主機更搬出中華大學，改部署於一家小型數據撥接公司機房，直到巴哈姆特公司成立以後，才放在自己的公司機房內。

服役期間，除了平日在軍中負責相關人事線上更新作業，陳建弘也會趁閒暇時間替這個成立不到2年的BBS持續寫程式、增加新功能、除錯，以及針對板務做一些重大決策，讓這個BBS站穩定慢慢成長，但這段時間也曾遇到硬碟壞掉而導致一度關站一個月。

1999年退伍後，陳建弘曾短暫進到奇摩網站擔任網站資訊工程師，負責將奇摩大摩域（奇摩版BBS）轉成網頁版，他指出，當時，Web網頁剛開始興起，看上Web的潛力，他同時打造出了一個巴哈姆特BBS的網頁版，可以讀取BBS的檔案系統，讓這些在BBS討論的文章，可以同步顯示到網頁上，不再只是純文字呈現，也可以加入圖片或影像畫面。

這時候，巴哈姆特網站已經發展到了一定規模，加上網際網路產業掀起的投資熱潮，開始有不少天使投資人找上門洽談。在當時那家公司工作不到幾個月，陳建弘就決定在1999年底辭職，自行出來創業，還找來自己堂弟和當時PlayStation和Sega Saturn板主共4人，在2000年3月正式成立公司，這一步，開啟了他長達19年的創業之路。

回顧這些年創業歷程，陳建弘坦言，一開始跌跌撞撞，才逐步建立巴哈姆特事業基礎，這段期間也遭遇了強大競爭對手，及面臨公司資金短缺的挑戰，逼得他們開始思考，如何轉型才能吸引更多玩家用戶加入，甚至要能創造新的商業模式。儘管，隨著這家公司規模壯大，陳建弘還是時常會將「巴哈成功了嗎？」、「我做對了什麼？」掛在嘴邊，提醒自己不要忘記了當初成立BBS站的初衷。

像是為了讓更多玩家加入討論，除了開發許多新服務，如「GNN 新聞網」、「G 料庫」、「電玩通」外，該公司還另外開發一套原生網頁的討論區，讓想要輕鬆討論的玩家可以來這邊交流，也把這個討論區叫「哈啦區」，來區隔原本討論限制較嚴格的BBS討論區。不僅如此，他在2003年也推出上線了一套紙娃娃角色系統，鼓勵大家在哈拉區發表文章可以得到虛擬巴幣跟經驗值，待玩家角色達到一定經驗值成長之後，就可以去買這些衣服來穿，這些衣服也是由玩家自行投稿，也能從中分潤取得巴幣的獎勵。「我經營這家公司多年來最重要的心得，就是你要建立舞臺讓觀眾上臺表演。」陳建弘說。

另在商業模式上，除了與臺灣各大遊戲媒體，如雜誌、電視辦活動吸引更多玩家進站，後來，他們也先後成立廣告業務部和電子商務部，開始經營廣告業務，也與各家遊戲公司合作提供電玩商品的販售服務等。他表示，有了更多遊戲產品合作機會和網站廣告，收入也開始穩定。

創業攻略兩大心法，一是立訂目標，二是找到羅盤

對於未來想要自行創業的工程師，陳建弘也提供兩大攻略心法，一是立訂目標，二是找到心中的羅盤。他表示，大家在做一件事前，得要想清楚自己目標、羅盤在哪裡。他所謂目標，就是「自己創業的初衷」，以他成立巴哈姆特最初的目的就是「打造電玩人的家」。而「羅盤就是這一家公司的信念」，他解釋，如巴哈姆特的信念，就是秉持中立、務實、良善與擁抱玩家，替社群保留一個乾淨的討論交流天地。

他更引用已故蘋果創辦人賈伯斯之前在史丹佛大學對畢業生演講的一席話，來勉勵所有工程師、技術人，未來遇到創業十字路口時，該往自己相信的這條路走。就像陳建弘用了自己23年創業經驗，來證明在面對公司經營挑戰時，謹記初衷的重要性，有了堅定的目標與羅盤，就不會無所適從，也就不怕走錯路。

「如同玩遊戲時，自己習慣把力量值點滿（編按：點滿是遊戲用語，指將這項力量數值增加到全滿），至少在這一方面比拼就不會輸人。」陳建弘又點出了一項適用多年來的切身經驗談。

陳建弘的總經理心法

1.以初衷當作目標

2.建立信念當羅盤

3.謹記莫忘初衷

＠資料來源：陳建弘，iThome整理，2019年9月

知名密碼管理服務LastPass被Google Project Zero揭露有漏洞，可洩露使用者上一個登入網站的密碼。LastPass已修補該項漏洞。

這項漏洞是由Google安全研究小組Project Zero研究員Tarvis Ormandy上月發現並通報Last Pass。它是出在瀏覽器擴充程式產生跳出視窗的過程中，在某些情況下，網站可藉由建立HTML iFrame連到LastPass的popupfilltab.html視窗，而非經由呼叫do_popupregister()函式的正常管道。某些情況下，這可能導致跳出視窗以最近造訪網站的密碼開啟，這表示只要利用一些點擊劫持手法，就會洩露前一個網站的登入憑證。

Ormandy並示範攻擊有多簡單，用戶若有LastPass瀏覽器擴充程式，攻擊者可傳送一個冒充Google Translate的惡意URL，用戶若不察之下點選該URL後，攻擊者即可抓出他前一個登入網站的帳號密碼。

本漏洞影響LastPass上周才釋出的4.33.0版，不過LastPass表示受影響的瀏覽器僅有Chrome和Opera瀏覽器。LastPass表示漏洞已經解決，用戶不用動作，LastPass瀏覽器擴充程式會自動更新。同時為以防萬一，該公司已經針對所有瀏覽器部署升級至4.33.4版。

LastPass並呼籲用戶啟動多因素驗證、安裝最新防毒程式，不要重覆使用LastPass主密碼，而且也不要多個線上帳號使用同一組密碼。

科技媒體也指出，雖然密碼管理服務容易成為攻擊焦點，但仍然有助於用戶使用強密碼，千萬不可因噎廢食。

Wi-Fi聯盟（Wi-Fi Alliance）在9月16日正式發表了Wi-Fi Certified 6認證專案，替新一代支援Wi-Fi 6（ IEEE 802.11ax）的裝置展開認證服務，同時宣布Samsung Galaxy Note10，為全球首款取得Wi-Fi Certified 6認證的智慧型手機。

Wi-Fi 6標準可在從1到7 GHz之間的所有ISM頻段（工業、科學及醫學頻段）使用，因此，除了以往Wi-Fi可使用的2.4及5 GHz頻段之外，Wi-Fi聯盟與其它組織在爭取其它頻段。

儘管Wi-Fi 6理論上的最大傳輸速率為每秒11Gb，但實際上的傳輸速率遠不及理論值，較中肯的說法應是它的速度可達802.11ac（Wi-Fi 5）的4倍，除了速度之外，Wi-Fi 6還支援更大的容量，低延遲，改善了裝置的電池效率，覆蓋率也更佳。

Wi-Fi聯盟表示，與坊間其它的Wi-Fi 6裝置相較，通過Wi-Fi Certified認證的Wi-Fi 6裝置，將符合最嚴格的安全與互動標準，更受消費者信賴。

Wi-Fi 6的高速與大容量可望與新一代的5G網路成為完美組合，一般認為5G網路適用於戶外的網路存取，Wi-Fi 6則是室內連網的最佳選擇，能夠用來支援5G連結並遞送先進的5G服務。

華爾街日報周一報導，Amazon祕密調整演算法，使其高獲利的商品出現在網站搜尋結果的上方。但Amazon對此否認。

過去消費者在Amazon上搜尋商品時，搜尋結果上方會顯示最暢銷或最相關的商品。但華爾街報導引述數名曾參與這項專案的人士指出，從去年下半開始，Amazon啟動一項演算法最佳化專案，目的在使Amazon自家利潤較高的商品出現位置優於利潤低的商品。其調整並未直接把獲利率這項因素加入算法，而是使用和獲利率相關的因素。

宣稱參與過該計畫的人不知道演算法對Amazon商品銷售成績的影響效果。但Amazon自家品牌Amazon Basics的負責部門，曾經要求他們改善商品在搜尋結果的順位。

Amazon身兼二種角色，一是提供賣家販售商品的電商平台，但它本身也銷售產品，可能和這些賣家競爭。作為全球最大電商平台，Amazon任何一點偏私就能影響賣家的業績。例如被選入黃金購物車（buy box）的商品，往往可大幅帶動銷售量。

Amazon反駁有這種情形，表示該公司未曾調整成以商品獲利率為準的搜尋演算法，所有消費者獲得的搜尋結果皆為切中他們喜好的商品，不論是Amazon自有品牌，或是其他廠商的商品。

雖然Amazon否認直接把商品獲利率加入演算法中，但Ars Technica報導，該公司還是承認，在測試新搜尋功能時仍會檢視其「長期獲利能力」。

該報導出現時間十分敏感，因為美國及歐盟都在追究科技龍頭是否有欺壓同業的反托拉斯行為。美國司法部7月宣佈對Amazon、臉書及Google三家網路大廠，啟動反托拉斯調查，要了解他們是否、又是如何取得市場壟斷力，並排除競爭者、扼殺創新而傷害消費者利益。歐盟也在7月中對Amazon啟動調查，是否使用平台上商家敏感的銷售資料，造成不公平競爭。

專門測試各種防毒軟體的奧地利非營利機構AV-Comparatives，本周公布了Windows上的防毒軟體測試排行榜，該組織在64位元的Windows 10 Pro平台上以352個案例，來測試市面上的16款防毒軟體，顯示其中的6款達到100%的防護能力。

AV-Comparatives所測試的防毒軟體，涵蓋Avast、AVG、Avira、F-Secure、ESET、McAfee、Microsoft Windows Defender、賽門鐵克、趨勢科技、騰訊及卡巴斯基等品牌，並以352個惡意網址進行測試。

研究人員表示，這些惡意網站可能是由攻擊程式所組成，例如偷渡式下載，或者是有些網址直接指向惡意程式，而這正是使用者在日常生活中瀏覽網路時，經常會面臨的威脅。

測試結果顯示有6款防毒軟體可完全封鎖這352個惡意網址，它們分別是Avira Antivirus Pro、Bitdefender Internet Security、K7 Total Security、Microsoft Windows Defender、Symantec Norton Security與Trend Micro Internet Security。不過，在這16款防毒軟體產品中，Microsoft Windows Defender的誤判率最高。

這是AV-Comparatives在今年7、8月所進行的調查結果，但該組織也提醒，就算某些產品在測試中達到百分之百的保護能力，並不代表這些產品能夠一直對抗網路上的所有威脅，目前只能確定它們能夠100%封鎖測試中所使用的常見惡意樣本。

暗網研究人員Sh1ttyKids在上周末發現，衛報（The Guardian）的SecureDrop匿名爆料平台遭到網釣駭客鎖定，駭客建立了一個假冒為衛報的SecureDrop平台，以騙取爆料者的代號，還在網釣頁面上推銷一個惡意的Android程式。

由自由新聞基金會（Freedom of the Press Foundation）代管的SecureDrop，是一個強調安全及加密傳輸的自由軟體平台，每個新聞組織都能利用SecureDrop建立自己的匿名爆料平台，以保護爆料者的身分並保障安全通訊，它支援包括正體中文在內的18種語言，包括衛報、華盛頓郵報與The Intercept都採用了該平台。

在衛報的SecureDrop平台上，當爆料者傳送一份檔案之後，就會收到一個可用來登入並與衛報記者溝通的代號，該代號可作為爆料者的身分識別，也能檢視與記者之間的通訊紀錄。

而駭客所設立的網釣網站即是為了竊取爆料者的代號，之後即可冒用爆料者的身分登入，與衛報記者交流或檢視通訊紀錄。

資安新聞網站Bleeping Computer則與其它資安研究人員合作，進一步探索了網釣頁面所推銷的Android程式，結果發現此一標榜為可隱藏爆料者位置的Android程式，實為一遠端存取木馬程式，能夠來監控爆料者的活動、所在地、通話、文字、拍照、執行其它命令，或是竊取裝置上的資料。

雖然在Sh1ttyKids揭露該網釣頁面之後沒多久，該頁面即被下架，但資安專家依然擔心可能已有爆料者的代號曝光或安裝了惡意程式。

由臺北市長柯文哲成立的臺灣民眾黨（以下簡稱民眾黨），驚傳在9月15日晚間網站正式上線後，於半夜就受到攻擊，在開站數個小時後關閉。該黨發言人陳思宇表示，攻擊者藉由線上申請黨員的流程裡，必須通過簡訊身分驗證的機制，大量註冊癱瘓系統，因此他們決定先暫時關閉網站，調整簡訊認證的做法後，才再度開放網站。

民眾黨強調，他們的黨務要走向全面數位化，該黨的網站也是其中重要的環節，這個網站提供最為重要的服務之一，便是提供民眾線上申請成為黨員。而在他們兩次於臉書的公告裡，歸咎攻擊手法是使用程式自動輸入手機號碼，然後申請驗證簡訊，導致黨員申請系統無法正常運作。該黨也表示會強化相關的資安防護，並對於蓄意攻擊行為，將會蒐證後交由檢警調查。民眾黨也指出，他們網站的資料庫並未受到入侵，也沒有個資外洩的情形。

臺灣民眾黨發現網站遭到攻擊之後，先後於16日早晨和晚上，於臉書發出聲明。第2次聲明指出他們面臨的攻擊手法，以及該黨採取的因應措施，並表示網站資料沒有出現異常存取行為。

根據多家媒體的報導，民眾黨網站遭受攻擊時，也傳出沒有申請入黨的中央部會官員，竟收到簡訊的驗證碼。當柯文哲被詢問到民眾黨網站遭駭一事時，則是表達該黨將會報警處理，再者，對於外界有人猜測此次攻擊是他們自導自演，柯文哲則強調絕無此事。

雖然網站才上線就因為遭到癱瘓而被迫關閉，但民眾黨仍在公告中表示，由於該黨在黨員的管理上，採取綁定手機號碼的機制，因此即使網站因考量受到攻擊後，使用者可能收不到簡訊而暫停運作，強調填寫紙本入黨意向書的民眾，日後仍需要再於網站上登錄後，才能完成申請手續。

0914-0920

 金管會   金融業上雲  
金融業上雲委外規範即將上路，外銀自建私有雲則採備查制
金管會9月12日宣布，「金融機構作業委託他人處理內部作業制度及程序辦法」（委外辦法）已完成修正，將於近日發布施行。今年6月底，金管會即強調，委託雲端服務業者處理的客戶資料以及資料儲存地，要以我國境內為原則。若是資料儲存地位於境外，金融機構需保有指定資料處理及儲存地的權利。且境外當地資料保護法規不得低於我國要求。此外，除了經過金管會核准者之外，客戶重要資料應該要在我國留存備份，包括涉及存款、授信、信用卡、匯款與投資等客戶重要資料。

金管會將依照雲端作業委外的重大性與否，區分為「核准制」以及「備查制」，具有重大性的委外作業，或是要將作業委託到境外的金融業者，都得採取申請核准制，事先向金管會提出申請。金管會也明訂重大性的委外作業兩項判斷標準。一是受託機構無法提供服務或有資訊安全疑慮。二是受託機構發生資料被竊、遺失等資料外洩情況，對金融機構或客戶權益有重大影響。

而不是屬於上述範圍的委外作業，則是採取備查制。金管會還特別指出，外國銀行作業委託境外母集團，再複委託雲端服務業者，如果是母集團自建私有雲，不涉及第三方雲端服務者時，得採取報備與補正程序辦理。金管會也提醒，金融機構應視業務需要與風險承受能力，採取適當方式分散，避免將多項業務委託同一雲端服務業者。

 開放銀行   金管會  
顧立雄揭露開放銀行新進度：第一階段9月上線，下一步將參考英、澳作法，訂定一套TSP安全要求
金管會主委顧立雄揭露了開放銀行（Open Banking）最新進展，在三階段的開放措施中，首先推動的第一階段是「公開資料查詢」，以非交易面的金融產品為主，會在9月上線。接下來的第二階段「消費者資訊查詢」與第三階段「交易面資訊」，因涉及個資的保護，會比第一階段公開資料來得更為複雜。顧立雄表示，金管會將參考開放銀行走得較快的英國與澳洲的走向，再來制定臺灣的作法。

顧立雄指出，開放銀行會帶來的兩大關鍵問題，首先，銀行擁有比較完善資安與個資保護的意識與配備，當將銀行資料開放給TSP業者，金管會該用何種標準來審視TSP業者？另一個問題是，萬一銀行的資料開放給TSP業者後，發生個資洩漏或是資安事件，誰要來負責？目前，顧立雄透露，金管會要與銀行公會先架構出一套TSP業者應具備的資安水平要求，透過銀行公會制定自律規範，來規範銀行，該如何挑選合作的TSP業者。（更多內容）

 中華郵政儲戶   TWID身分識別中心  
中華郵政與TWID身分識別中心合作，讓2,500萬郵政儲金帳戶可供第三方服務身分識別使用
臺灣網路認證公司旗下的TWID身分識別中心和中華郵政合作，未來，中華郵政擁有的2,500萬郵政儲金帳戶，可望成為TWID身分識別的來源之一，雙方預計明年第一季完成系統介接。屆時，用戶將就能以既有的郵政儲金帳戶身分，通過第三方服務商的身分驗證要求，線上申請電信門號、第2類電子支付開戶，或是通過保險業既有保戶網路實名認證、電商或遊戲帳戶的實名認證等。

臺灣網路認證公司董事長李榮琳則表示，在FinTech趨勢下，若要透過網路服務更多人，必須通過實名制確認申請者的身分。與中華郵政的合作，是因為中華郵政的郵政儲金帳戶相當普及，能夠提供更全面性的身分識別機制。

 FinTechSpace   監理門診   法遵   新創 
金融科技創新園區成立1周年，專解FinTech法遵痛點的監理門診最搶手
成立滿1周年的金融科技創新園區FinTechSpace，作為臺灣首座金融科技實體共創空間，首年共吸引76個單位進駐，其中光是國內外新創業者就有53家。FinTechSpace去年9月中成立時，即規畫「監理門診」專區，每周都會有官方的監理人員，進到園區提供駐點諮詢服務。1年下來，已舉辦了74場次的監理門診，超過41家進駐單位掛號問診，後續有25個單位，回診諮詢，並輔導4家團隊申請監理沙盒。金管會主委顧立雄指出，透過該機制的交流，可讓主管機關及早了解金融科技的發展趨勢，以及可能存在的風險，也讓業者可快速調整商業模式，適應監理框架。

參與了兩次監理門診的麻布記帳，也進一步了解到，金融業最關注的資安、消保、風控和KYC等相關資訊。經金融總會統計，新創就診最常涉及的議題有5大項，產創合作、證執照、信託、徵信和身分識別。園區也將問診團隊經常諮詢的問題，整理製作成問答集，於園區的官網公布，提供新創團隊參考。現階段，問答集有4大類，分別是有關證券、投信、投顧服務，以及有關支付、匯兌、借貸服務，以及保險服務和監理沙盒機制。

 AWS   Amazon QLDB 
AWS正式推出區塊鏈分類帳資料庫服務Amazon QLDB
繼AWS在4月30日發布完全代管的區塊鏈服務Amazon Managed Blockchain，現在終於釋出Amazon QLDB服務，成為AWS資料庫最新的成員，供使用者儲存不可竄改的資料，目前會在美東北維吉尼亞州和俄亥俄州、美西奧勒岡州、歐洲愛爾蘭以及亞洲東京共5個區域釋出。 Amazon QLDB是一個分類帳資料庫，目的是要為儲存的資料，提供一個權威資料來源，儲存完整且不可竄改的資料提交歷史。Amazon QLDB提供了讓使用者以加密方式，驗證歷史記錄準確與合法性的API，AWS表示，由於不可竄改的特性，Amazon QLDB特別適用於電子商務、運輸和物流、人力資源和工資、製造業以及政府應用程式等，需要維護儲存資料完整性和歷史記錄的使用案例。

 臉書Libra   法國 
法國揚言阻止Libra在歐洲發行
路透社、每日電訊報報導，法國經濟及財政部長Bruno Le Maire在巴黎舉行的經濟合作暨發展組織（OECD）會議演說提及Libra時警告，Libra是擁有全球超過20億用戶單一業者持有的數位貨幣私有化的風險，包含濫用市場獨大地位、威脅國家貨幣主權及對消費者與企業的風險。Le Maire表示，考慮這些因素，我們絕對不應允許Libra在歐洲土地上發展，但他並未說明法國要如何阻止Libra在歐盟28個會員國內發行。但他已經和與會的歐洲各國央行主管會面，討論如何因應Libra的發行提案，包括成立一個「公有數位貨幣」、改善現有國際支付系統品質及降低成本等方法。

圖片來源： 攝影／洪政偉、李靜宜
責任編輯／李靜宜
 金融科技近期新聞 
1. 堅守金金分離原則，金管會將會面3家純網銀業者討論董事派任、資安、存款保險等問題
資料來源：iThome整理，2019年9月

美商第一證券（Firstrade）的許多客戶，在9月14日～15日週末期間都陸續發現一個奇怪現象，，有不少客戶的電子郵件遭到不尋常的竄改，例如：帳號E-mail都被改為「stefanofinding@wearehackerone.com」，甚至連名字都被改掉了。客戶以為遭駭後，緊急聯繫第一證券的客服人員，卻得到一問三不知的答案。

最後，許多客戶只在第一證券的臉書社團，看到一則簡短的訊息表示，「這是第一證券聘請Hackerone.com於週末對系統進行深度測試，對於測試導致客戶的個人電子信箱有任何困擾致歉；但也再次重申，客戶面臨的這些修改只是測試的一部分，客戶的個資是安全的。」

私訊該名白帽駭客stefanofinding表示，受限於合約以及保密協定，無法提供任何關於測試的資訊，請我們與第一證券聯繫後續的細節。經過多方求證，這是由第一證券（Firstrade）委由漏洞獎勵計畫通報平臺Hackerone.com所執行、形同內測的小型私有化漏洞獎勵計畫（Private Bounty Program）。

由於第一證券客戶的電子信箱，遭到白帽駭客更改後引發軒然大波，即便第一證券稍晚針對客戶發出正式的通知信函，但仍無法平息眾怒，有不少客戶痛批，應該要事先通知有相關的測試，也紛紛在臉書社團中，表達將儘速轉換交易券商的意願。

私有化漏洞獎勵計畫不適合臺灣金融業現況

一位不願具名的臺灣金融業資訊高階主管一剛開始以為，這是一個失敗的滲透測試（PenTesting），惡質資安業者導致客戶的資訊遭到修改；但是，後來該高階主管聽聞這是一個小型私有化的漏洞獎勵計畫時，則直言，這對臺灣金融業者來講，還有很大努力的空間。

另外一位金融業的高階資安主管第一時間以為這是假消息，因為寄給客戶的電子信件，字句用詞都像是中國用語；但確認為真實事件後，他則笑說，這樣的測試情境若發生在臺灣，一定會被主管機關金管會盯慘，「不管怎麼樣的測試情境，怎麼可以在未經客戶同意下，動到客戶資料呢？」他說。

臺灣知名資安業者戴夫寇爾擅長滲透測試以及紅隊演練，該公司執行長翁浩正表示，他們先前曾經針對臺灣金融業做過多次紅隊演練（Red Team）以及滲透測試，「但不管是哪一種情況，只要會影響到客戶資料，過程都必須非常謹慎且與客戶保持密切溝通。」他說。

戴夫寇爾資安研究員Orange Tsai則是全球知名的漏洞獎勵計畫的獎金獵人，也是資深紅隊演練與滲透測試專業資安顧問。在提及第一證券爆發的修改客戶資料的資安測試事件時，他依照個人經驗指出，不管是哪一個漏洞獎勵計畫通報平臺，平臺業者通常會建議想要舉辦漏洞獎勵計畫的企業用戶，先啟動一個僅限少數白帽駭客參與的、類似內部測試的小型私有化漏洞獎勵計畫（Private Bounty Program），以避免企業用戶的系統，在漏洞百出情況下就公諸於世。

不過，Orange Tsai觀察，平臺業者看來是提供常見的Private Bounty Program的建議，但從第一證券業主的角度來看，此次小規模的測試範圍，都不應該開放讓白帽駭客直接進行線上服務的測試。

再者，此次爆發也因為同時具備多種巧合，例如：第一證券的系統不完善、有許多明顯的系統漏洞，像是SQL Injection等，並沒有事先測試並完成修補；再加上此次參與測試的白帽駭客，對於滲透測試或紅隊演練嚴謹的測試流程不熟悉，才使得該次漏洞獎勵計畫的執行，最終直接影響到第一證券的客戶資料。

漏洞獎勵計畫的測試與紅隊演練與滲透測試有何不同

從這起第一證券爆發的事件來看，許多人對於紅隊演練、滲透測試甚至是漏洞獎勵計畫的差異並不了解。Orange Tsai指出，紅隊演練是範圍最廣的資安測試，從廣泛的流程到服務，找出各種可能的系統和邏輯漏洞；至於滲透測試，則是針對單一的核心系統做更深入的測試，以提升系統的安全性；而漏洞獎勵計畫其實是補講究廣度的紅隊演練，和在意深度的滲透測試的不足之處。

Orange Tsai同時身兼獎金獵人以及資深資安顧問雙重身分，根據他的經驗，一般產業通常會建議先跑過幾輪紅隊演練，找出可以找出的系統與邏輯弱點、漏洞並修補後，再針對重要核心系統進行深度的資安滲透測試，這樣對整個系統的安全性，才可以做到一定程度的提升。

他說，之後就可以透過舉辦僅邀請少數人的私有化漏洞獎勵計畫（Private Bounty Program），或者是針對大眾公開的漏洞獎勵計畫（Bug Bounty Program），邀請更多白帽駭客協助找出該企業服務或系統漏洞，這通常已經是難度更高的漏洞，像Orange Tsai先前挖掘的各種零時差漏洞，則是透過集合各種漏洞的連續技所挖掘的漏洞，難度相對高，也通常不在紅隊演練或滲透測試的過程中。

至於第一證券許多客戶抱怨，相關的資安測試沒有事先通知，客服部門一問三不知的狀況，Orange Tsai表示，一般而言，滲透測試會事先通知，但紅隊演練為求真實，則不會事先告知；至於客服部門由於權限太低，通常很難得知這類資安測試的訊息。

推測白帽駭客應該是在更新第一證券測試資料時出包

翁浩正也表示，改資料基本上會是在測試範圍的，因為那邊也是常見的被攻擊點。因此，該公司在執行紅隊演練或滲透測試時，改資料會相當謹慎，並遵守一個方法論，如果發現是Update（更新）資料的區塊，不僅測試會非常謹慎，也會一定會避免影響客戶資料，甚至高風險的部分，也會先跟客戶溝通之後再進行。

也就是說，執行相關的資安測試時，都會先與客戶確認，然後針對更改、刪除等等部分嚴謹進行；如果客戶有擔憂，因為怕影響客戶資料，通常會請客戶提供測試環境，這樣要怎麼改都沒關係。

他進一步解釋，戴夫寇爾會根據經驗，預測資料的呼叫方式，這個叫做CRUD，可以分成CREATE（新增）、READ（讀取）、UPDATE（更新）和DELETE（刪除）等四個動作，根據每個測試項目與方式不一樣，而有不同的作法。

他說，通常READ問題不大，因為只讀取資料，其實不更動客戶的資料；CREATE其次，因為新增資料可能會造成客戶其他流程受到影響；UPDATE再更嚴重些，DELETE最嚴重。

翁浩正從整個流程推測，第一證券應該是駭客在測試資料UPDATE的環節出包，因為更改了其他使用者資料，推測可能是SQL Injection測試不嚴謹，導致UPDATE 語法缺少了WHERE的語句，造成更改整個資料表。

有經驗的系統測試者，會使用造成最小程度的Payload去做測試

Orange Tsai也說，由於許多獎金獵人平常對於紅隊演練或滲透測試，所需要嚴謹的過程並不了解，像這一次第一證券的問題，就可能是白帽駭客在測試過程中，在每一個測試項目都插入一樣的參數，遇到SQL Injection的漏洞配上有問題的系統時，「牽一髮、動全身」，一個不小心就更動到客戶資料了。

他表示，對此有經驗的資安專家，會使用造成最小損害程度的攻擊代碼（Payload）去做測試，既可以達到不要造成系統問題，又可以測出漏洞的目的。也就是說，有經驗的資安專家，會針對不同測試項目插入不同參數，而這些參數對系統造成的影響程度最小，卻又可以驗證系統漏洞，他說：「這其實是從許多實務經，驗慢慢累積而成的。」

翁浩正觀察到，有一些劣質的PT業者，會使用自動化工具掃描，或者是遇到經驗不足時，可能會以為是基本的SQL Injection漏洞，測試結果發現是更改資料，最後，就不小心改了整個資料庫的資料了。

他也補充指出，一般紅隊演練或滲透測試的檢測流程都有規範，也會在每天公司內部戰情會議討論執行進度，也會請業主委託IT或者資安部門觀察與監控該公司的伺服器狀態，但若這個過程，是透過執行漏洞獎勵計畫而達成的目標，有可能遇到不專業的檢測人員，無法用團隊來做規範跟品管。

臺灣產業對推動漏洞獎勵計畫，整體環境還不成熟

曾經參與金融業多次紅隊演練及滲透測試的Orange Tsai，他認為，臺灣個產業，包括金融業在內，目前外在環境的成熟度以及駭客社群的成熟度都還不足，推動金融業的漏洞獎勵計畫（Bug Bounty Program）難度很高；相較國外市場，駭客社群已經有一定成熟度，但各產業對於漏洞獎勵計畫的接受度仍有落差。

他說，目前臺灣金融業面對資安問題採取的解決之道，並不是從基本面去提升整體系統的安全性，往往是，採用各種禁止訪問存取的手段，例如，當外部使用者對某一項金融服務的存取訪問，超過系統預設的限制時，就會搭配實體臨櫃的方式，確保使用者是可信任的。這樣的作法或許當下確保系統安全，但對於整體安全性的提升，並沒有任何加分。這也使得產業的漏洞獎勵計畫難以實施，也容易造成白帽駭客會因為金融業系統端的各種警報，導致無法真正測試系統資安問題所在。

Orange Tsai會建議，金融業者可以先做過幾次紅隊演練後，再針對關鍵系統做滲透測試，之後再透過舉辦漏洞獎勵計畫的方式，找出對系統有危害但大家還沒有發現的漏洞。但他也提醒，不管哪一個產業，在無法確保一定的系統安全程度之前，各種漏洞測試絕對不要直接測試線上服務系統，以免出包後，難以收拾。

至於從事相關資安測試的白帽駭客，Orange Tsai則說：「白帽駭客永遠要清楚知道，自己插入的參數Payload到底是什麼，而這個插入的參數，會對系統帶來什麼影響。」如果只會一招半式闖江湖，想要用一個參數、適用全部系統，充其量，也只不過是腳本小子（Script kiddie）而已。

威脅偵測與分析業者ReversingLabs近日揭露了一種新型態的數位憑證詐騙手法，駭客集團假冒可公開取得的企業高階主管身分，向憑證發行機構購買數位憑證，再到黑市兜售。

數位憑證主要是用來驗證內容與開發者的身分相符，且未曾被竄改，以取信於作業系統或使用者，在程式簽章上，憑證機構主要頒發兩種憑證，一是只需要基本身分檢查的程式簽章憑證（Code Signing Certificates），通常是個二進位檔案，二是需要嚴格審查身分與公司資訊的延伸驗證憑證（Extended Validation Certificates），型態為硬體令牌。

而研究人員發現，以二進位檔案呈現的程式簽章憑證，已成為駭客牟利的工具，駭客先透過網路上的資源蒐集可假冒的各種對象，像是在軟體產業任職的人士，再遴選出可取得詳細資料或方便開採的目標，例如找到一個40歲、長年在資訊服務業工作、位居英國，且為公司共同創辦人的A先生。

A先生的公司註冊了一個ABC.com的網址，於是駭客先冒用A先生的身分註冊ABC.co.uk的網址，再以後者的電子郵件帳號來申請憑證。

總之，駭客在經過縝密的部署之後，成功暪過了憑證發行商，取得合法的程式簽章憑證，並多次上傳使用該憑證的執行檔到公開的防毒軟體掃描服務上，以對外展示它的有效性，之後即開始於黑市兜售。

目前ReversingLabs已發現有22個執行檔案使用該簽章，並非所有的檔案都是惡意的，但那些含有惡意檔案的程式中，全都嵌入了OpenSUpdater廣告程式，可用來在使用者的電腦上安裝垃圾軟體。

此外，研究人員發現這已是該駭客集團的固定模式，遭到冒用的個人或企業數量也已有十多個，目前看來雖僅止於申請程式簽章憑證，但若要進一步取得延伸驗證憑證也非不可能。

Google為混合雲平臺Anthos加入更新，除了為Anthos加入了服務網狀網路（Service Mesh），讓企業能夠連結和管理微服務之外，同時Anthos也支援無伺服器服務Cloud Run，開發者能在上面簡單地執行無狀態工作負載。另外，Anthos也提供二進位身份驗證，供企業確保經驗證的映像檔才進入託管的建置與發布程序，而Anthos Config Management新功能能自動執行組織專有的政策。

越來越多的企業開始以微服務架構實作應用程式，不過從單一的應用程式，擴充到由大量微服務建構而成的應用程式，其管理的複雜度也隨之增加，而服務網狀網路則是一個抽象層，提供統一連接、保護、監控和管理微服務的方法，服務網狀網路使用高效能和輕量級代理，為服務之間的溝通帶來彈性與可見性。

Google為Anthos加入服務網狀網路，而由於Anthos是一項託管服務，因此使用者可以利用簡單的方式，將這個抽象層增加到環境中，Google提到，這項服務是基於微服務平臺Istio開放API建構，用戶能使用統一的管理介面管理和保護服務之間的流量，另外，Anthos服務網狀網路也能幫助開發者深入了解應用程式流量，加速排除複雜環境所產生的問題，進一步改善開發體驗。

這次的更新也在Anthos中支援了無伺服器服務Cloud Run，Cloud Run是結合容器的無伺服器服務，讓開發者無需自行建構與管理底層基礎架構，開發者就能執行無狀態工作負載，而Cloud Run能在數秒視流量自動向上擴展或是向下縮減規模。

Google提到，Google整合Cloud Run是使用跨雲無伺服器管理平臺Knative，這是一個開放API和Runtime環境，讓開發者不需要學習進階的Kubernetes概念，可以花更多的心力在開發應用程式上。Anthos支援Cloud Run提供了一致的可移植性，因此開發者可以同時在Google Cloud和本地端執行工作負載，企業依照需求選用雲端服務。

除了簡化應用程式的開發以及運作之外，Anthos也提供了預設的安全性功能，現在服務網狀網路可以制定統一的政策來強化安全性，像是傳輸中加密、交互身份驗證以及存取控制，讓企業能夠達成零信任安全性。

Anthos提供的二進位身份驗證，可讓開發者在開發程序中執行安全檢查，確保在環境中只部署受信任的工作負載，而使用Anthos Config Management的新政策控制器和配置連接器，則可以在整個雲端環境包括Google雲端、本地雲和其他雲，實施一致的安全政策和控制。

Mozilla、Coil與Creative Commons三個組織總共籌備了一億美元，要來廣邀網路上的內容創作者一同集思廣益，提出能夠改變當前網路經濟結構的提案，並促使開放標準金流服務供應商發展新的服務，供使用者更方便地直接資助他們所喜愛內容。

這項稱為Grant for the Web的計畫，其終極目標是要使用開放技術和直接的金錢資助，打破網路目前依賴數位廣告的商業模式，以重塑網路經濟。

Grant for the Web預計要在五年內，對隱私且開放網路的金流生態系作出貢獻的個人、專案或是全球社群，發出一億美元的獎勵，為新想法提供發展資金，使其能茁壯成長最後成熟，由Coil、Mozilla與Creative Commons組成的委員會，將決定獲得獎項的提案。

Mozilla舉例，提案內容可以是幫助內容創造者，脫離廣告、資料探勘與應用程式的獲利方式，使用網頁金流標準並在串流支付中建立新功能。計畫也特別希望創作者的提案具開放自由的精神，以及用戶具有自主權、隱私並且能夠控制自己的資料，或是能增加網際網路的的多樣性與包容性，活絡被遺忘的社群或是個人內容。

計畫的目的想要讓創作者可以從工作付出中直接獲得報酬，進而擴展網路的參與程度，包括使得歷史上受存取程度不佳的群體，也能因為新興提案而充滿活力，鼓勵尚未用來獲利或是獲利價值低的內容創新，尋求新的獲利方式與價值，且透過創建不依賴收集瀏覽歷史紀錄等使用者資料的替代方案獲利，讓創作者可以有收入的同時，又不需要出賣使用者隱私。

另外，透過鼓勵支付服務供應商在開放支付生態系間競爭，降低創作者在網路上接收支付的管理成本，在支付方法上，則讓創作者和消費者能夠使用各種貨幣，消除迫使人們被鎖在特定支付方法或是必須持有多帳戶的能力。