專門提供資安顧問服務的Security Discovery，在本周揭露了另一起Elasticsearch配置錯誤，而造成資料庫曝光的意外事件，該資料庫的所有人為本田汽車（Honda Motor），而且本田在今年7月就曾發生類似的事件。

Security Discovery網路威脅情報總監Bob Diachenko表示，此一缺乏密碼保護的資料庫，是先在12月4日被納入資安業者BinaryEdge的搜尋引擎索引中，他則是在12月11日發現這個資料庫。

該資料庫含有9.7億筆記錄，隸屬於本田的北美總部，只要透過瀏覽器就能存取。在通報本田之後，本田確認該資料庫的記錄屬於該品牌的2.6萬名車主，涵蓋他們的名字、電子郵件帳號、電話號碼、郵寄地址、汽車型號與製造日期、車輛識別號碼、交易代號，以及其他的服務資訊等。

本田也承認了該資料庫的錯誤配置始於今年的10月21日，但強調資料庫並未存放任何車主的金融資訊或密碼。

Diachenko是在12月12日知會本田日本總部的安全部門，隔天該資料庫就受到保護了。

繼愛講智慧音箱之後，遠傳電信再推出愛講定位手錶，可定位追蹤兒童的行蹤確保安全，內建愛講中文語音助理，能以語音播放有聲書，或是說出「我要打電話給媽媽」，自動撥出電話給父母。

該款智慧手錶使用高通為穿戴裝置推出的Snapdragon Wear 2500處理器，搭配4G SIM卡，並採用與愛講智慧音箱相同的中文語音助理技術，只要對著手錶說話，就能請中文語音助理查詢天氣，播放有聲故事書，或是撥出電話、傳送訊息給家人，也能進行雙向的視訊通話。

不過，手錶雖然內建愛講中文語音助理，但可使用的功能並不像智慧音箱那樣完整，只能以語音查詢天氣、播有聲書、通話、設定鬧鐘等等，而且若手錶無法連接網路，就無法使用中文語音助理。

在定位功能方面，由於為手錶的核心功能，支援AGPS、Wi-Fi及4G三種定位技術，遠傳電信表示，手錶會優先使用Wi-Fi定位使用者的位置，因此即使在室內也能利用Wi-Fi定位，其次為使用AGPS定位，最後才是誤差較大的4G基地臺定位。

家長在自己的手機上安裝App，就能透過App內的Google Maps地圖介面隨時掌握孩子行蹤，確認家中寶貝的安全，也能瀏覽幾天前的軌跡紀錄。

另外，還能夠設定安全守護區，像是將家裡、學校、補習班、爺爺奶奶家設為安全區，當手錶進入或離開這些安全區，App就會收到通知。

遠傳電信表示，不少家長會購買對岸的通話手錶，在產品保固上受到限制，因此遠傳和出門問問合作推出這款定位手錶，並針對聲帶未發育成熟的兒童語音，蒐集相關語音資料訓練語音助理，主要鎖定5到10歲沒有使用智慧型手機的兒童使用。

配合兒童的使用，手錶內建IP68防水功能、FDA食品級錶帶，由於使用4G連網，遠傳也推出專門的資費方案，用戶可選擇249或399月租費，享有每月1.2GB或吃到飽傳輸量，一定的網內語音通話分鐘數、簡訊則數，手錶優惠價最低1990元到4490元不等。

可確保軟體更新安全的開源規範The Update Framework（TUF）已經達到CNCF（Cloud Native Computing Foundation）的專案畢業狀態，而TUF也是第一個從CNCF畢業的規範（Specification）專案。

TUF專案負責人Justin Cappos提到，TUF的設計讓企業不需要在營運安全上做到完美，當企業意外地公開簽章金鑰、遭惡意人士侵入軟體儲存庫或是流氓員工作亂，他們所能造成的損害都是有限的，Justin Cappos認為，深度防禦是安全的關鍵，而在實務上，軟體更新基礎設施的安全是關鍵之一。TUF提供了一個安全軟體更新系統的框架。

目前正在被使用的軟體更新器有成千上萬種，就普通Windows用戶的電腦來說，可能就包含了20幾個不同的軟體更新器，這些更新器為軟體增加新功能並解決舊漏洞。TUF官方提到，軟體很少是靜態的，甚至部分軟體儲存庫每隔數分鐘就會收到軟體和專案元資料的更新，而不斷成長的更新流量，同時也產生了保護更新系統的需要。

TUF專案在10年前啟動，目的是要強化系統防範攻擊，抵禦傳播惡意軟體和破壞儲存庫的能力，TUF專案內含有一組函式庫、檔案格式和公用程式，讓用戶能夠保護新的和現有的軟體更新系統。TUF設計提供最小化影響的方法，並且能彈性地滿足各式軟體更新系統需求，且容易與現有的軟體更新系統整合。

TUF由美國國家科學基金會和美國國土安全部資助開發，在2017年被CNCF接受為孵化器專案，此後便成為保護軟體更新系統的標準，被AWS、Google、Cloudflare、微軟、Docker、IBM、紅帽與VMware等大型企業採用。CNCF技術長表示，現在開源軟體無所不在，並且在許多裝置上無縫地更新，而TUF在軟體供應鏈上扮演重要的角色。

微軟發布最新Visual Studio Code的Python擴充套件，修復大量已知的問題，包含39個臭蟲，在新功能方面，當用戶使用Python語言伺服器時，就能使用新增匯入（Add Import）與快速修復（Quick Fix）功能，這個版本還支援Python宣告式視覺化函式庫Altair，以及在筆記本編輯器（Notebook Editor）增加行號。

新版Python擴充套件主要的更新，是在Visual Studio Code中，讓Python開發人員使用自動匯入快速修復功能。微軟提到，自動匯入功能是開發人員在GitHub存儲庫中熱烈要求的功能，而現在當用戶啟動微軟語言伺服器時，就能獲得這項新功能。

Visual Studio Code自動匯入快速修復的功能，需透過程式碼動作（Code Action）燈泡觸發，當開發者在編輯器輸入套件名稱，且檔案標頭沒有匯入語句，就可以使用此快速修復功能。當套件存在對應可用程式碼動作，則程式碼下方會出現黃色波浪底線，當開發者把滑鼠游標懸停在該文字上，且出現程式碼動作燈泡，則代表該套件可使用匯入程式碼動作，開發者可以從潛在可匯入列表中選擇要匯入的套件。

新增匯入程式碼動作還會辨識Python套件中常用的縮寫，像是numpy可寫作np、tensorflow為tf以及matplotlib.pyplot為plt等。微軟提到，匯入建議列表的排序方式，上方會列出所有套件匯入，下方則會是其他模組或是成員的匯入語句。

另外，筆記本編輯器和Python互動視窗現在都支援Altair繪製圖表，而在筆記本編輯器中，現在則支援行號，開發者可以使用快捷鍵L來開啟或是關閉行號。微軟也提到，他們現在進行新功能A/B測試，因此用戶可能會意外發現尚未公布的新功能，用戶可以在settings.json檔案中關閉。

微軟強化可將機器學習部署到邊緣裝置的物聯網邊緣服務Azure IoT Edge，現在除了支援分層部署之外，還可以從Azure Portal和其他更新的UI直接部署市集模組。

微軟解釋，分層部署是一種新型態的IoT Edge自動部署方法，讓開發人員可以獨立部署模組子集，如此便不需要為裝置群中，可能已經存在的每種模組組合個別創建自動部署，Azure IoT Hub會評估分層部署的適用性，以決定IoT Edge裝置最終的模組集。

分層部署和其他自動部署皆使用相同的基本元件，同樣透過裝置狀態紀錄檔案（Device Twin）的標籤來定位裝置，並且使用標籤、指標和狀態報告提供相同的功能。分層部署具有優先等級，微軟解釋，優先等級並非用來決定將哪個部署應用到裝置上，而是用來決定裝置上多重部署的方法，像是當兩個分層部署具有相同名稱和路由，則會以較高優先等級的分層部署，覆蓋較低等級的分層部署。

另外，微軟也更新了Azure Portal中IoT Edge自動部署使用者介面，用戶現在可以在Azure市集選擇模組，並且直接進行部署。

臉書用戶再面臨資料外洩危機。安全公司發現一個疑似駭客蒐集包含將近2.7億筆用戶電話號碼、帳號及姓名的不明資料庫掛在網路上，還放在駭客論壇上供下載。

安全廠商Comparitech研究人員Bob Diachenko在12月14日發現到這個公開於網路上的資料庫。研究人員認為這個資料庫可能是一群越南駭客非法存取臉書API蒐集到的結果，而這些外洩資料可能被用大規模發送垃圾簡訊、釣魚郵件或其他有害內容。

分析發現這個資料庫含有2.67億筆資料，大部份屬於美國地區臉書用戶。研究人員表示，所有曝光的資料都是有效資訊。每筆資訊都有臉書用戶全名、不重覆用戶ID、電話號碼與時戳。不重覆ID和電話號碼可用來辨識帳號使用者名稱和和其他檔案資訊。資料庫的伺服器還有一個有登入介面和歡迎頁的頁面。

這個資料庫是在12月4日被建立索引公開於網路上，研究人員發現後，立即通知ISP將存取IP位址的管道移除。雖然「只」曝露在網路上10天，但研究人員也發現，駭客已在12月12日將之放到駭客論壇上供人下載。

歹徒如何蒐集到這大批資料還不完全清楚，不過Diachenko判斷可能是2018年以前利用臉書的開發人員API取得。在去年初臉書爆發劍橋分析8700萬筆資料外洩後，臉書就關閉存取用戶電話號碼的API。另一可能是完全跳過臉書API，直接利用網頁機器人程式從公開用戶資料頁爬資料，因為許多人都把資料頁設為可公開存取。

為避免再被機器人程式爬走資料，研究人員呼籲用戶將帳號下所有資訊的存取許可，設為「朋友」和「只有我」。此外也應在「你希望臉書外搜尋引擎連結到你的個人資料頁嗎」的選項中，設為「否」。

三個月前才爆出一個載有4.2億筆的資料庫公開於網路上，內有美、英及越南用戶的臉書ID及用戶電話號碼。

紐約時報在本周出版的《觀點與評論》中指出，他們看到了一份內含1,200萬支手機之GPS歷史紀錄的資料庫，涉及了這些手機所移動的500億個位置，指出當使用者允許行動程式存取位置時，行動程式不只蒐集了這些位置，也將位置出售予資料公司，而全美至少有20家這類的資料公司，讓使用者的隱私曝露無遺。

紐時是從其中一家資料公司取得該資料庫，且今日的美國，蒐集與出售這些資料是合法的，因為相關數據是在使用者的同意下才取得的，且是匿名及安全的。這些資料可能來自於天氣程式、新聞程式或優惠券程式等，任何要求使用者分享位置的程式。

然而，紐時的分析顯示，就算這些資料是匿名的，但當有一支手機每天從一個固定地點、移動到另一個固定地點上班時，幾乎就能辨識手機主人的身分，隨後即可追蹤該人的足跡，建立特定對象的移動路徑。紐時說，他們只花了幾分鐘就根據一名微軟工程師在某一天的行程，確認了他的身份。

此外，這些資料公司除了蒐集來自手機的地點資料外，它們還利用技術來建立手機主人的檔案以進行目標式廣告，資料公司的客戶除了廣告公司之外，還有專門處理及分析資訊的金融機構、房地產投資或地理空間分析公司，且目前無法可管。

其實不管是Google或蘋果，都在Android與iOS平台上建立了廣告識別碼（Advertising Identifier），它是個與身分資料無關的獨立識別機制，主要是用來追蹤裝置的行為以遞送目標式廣告，在Android上稱為AdID，在iOS上稱為IDFA，但假設結合了上述資料集，將進一步擴大對使用者隱私的危害。

於是，專家們除了奉勸手機用戶不要太輕易與程式分享自己的地理位置之外，也建議使用者可以透過手機上的隱私設定，關閉廣告追蹤功能及重置廣告識別碼，關閉該功能之後一樣會收到廣告，只是它們不會是依據手機活動而遞送的目標式廣告。此外，從手機設定的定位服務中，也能檢視及管理使用者與之分享位置資訊的程式。

企業進行架構變革（包含技術架構、業務架構、組織架構），這本來就是很困難的事，成功的機率不高。我對企業望聞問切，整理出一些值得注意的失敗徵兆。我們先關注徵兆，因為徵兆很表淺，比原因更容易被觀察到。

當企業領導人的領導力太弱，企業是難以進行架構變革的。承平時代，一切都可以按照原本的軌跡按部就班有序進行，這時候領導人的能力強弱關係不大。但在架構變革時期，動盪非常大，如果沒有一個強領導力的人負責，企業勢必會陷入巨大的動盪，保守派和改革派展開鬥爭。激化矛盾，越弄越糟糕。

當企業領導人的脾氣太壞，也會難以進行架構變革。領導人脾氣壞的話，多數的員工本來就已經在跨出公司的臨界邊緣，這時候來個大的變革，就會導致人員的流失。而且這種主動離開的員工，通常是比較好的員工（畢竟比較容易在外面找工作），留下的通常比較差。逆向淘汰，越弄越糟糕。

當企業財大氣粗，通常也會難以進行架構變革。口氣很大，說是「要人給人，要錢給錢」的企業，通常很快就會失敗，劇本一律都是：來了一批人，花掉一筆錢，搞出一堆破事，然後走掉這批人。想架構變革，內部的變化是關鍵，如何把自己的人做轉變，並讓轉變不了的人不要礙事，甚至離開（主動或被動），這才是核心任務。但有錢人「花錢就能夠解決任何問題」的思維模式太強了，很容易輕忽這些軟性（但關鍵）的事。企業變革需要關注內在的變化，財大氣粗的企業是很難這麼細緻的。

當企業領導人是職業經理人，很難進行「深層次」的架構變革。這不怨職業經理人，他們是無辜的。他們受到短期業績的綁架，只能開源節流，不好做出大的變革，因為變革傷筋動骨，導致他前途未卜。有些職業經理人背負董事會的期望，乾脆給企業下特效藥，但這類特效藥短期看起來有效，長期卻會讓企業的體質變得更糟糕。如果企業領導人還是企業創始人時，就不一樣了，企業是他親生的，他願意「花時間」好好地、正確地把他的孩子再度培育好，不惜代價和時間。

當企業是國營企業等體制僵化的企業，很難進行架構變革。人的事情搞不定，架構變革就不可能成功。而國營企業等體制僵化的企業內部的關係錯綜複雜、利益糾葛難解，剪不斷理還亂，你根本不知道「誰的誰是誰的誰」。有些體制僵化導致人員沒有活力的企業試圖採用「鯰魚效應」，來激發企業活力，但事實上，只要體制僵化，外面找來的不管是鯰魚還是什麼生猛海鮮，都死的很快，大家一起死透。組織沒有活力，企業沒有獲利。

企業在走上坡，很難進行架構變革，員工會覺得沒有必要找麻煩：「好好的幹嘛瞎折騰？」「純粹是吃飽沒事幹」。或許大家行動上不會牴觸，但也不會積極去做，純粹是應付了事，這麼一來效果當然不好。只產出一堆PPT和報告。

企業在平穩期或者略為衰退，也非常難進行成功的架構變革，因為這個時候大家都特別敏感，生怕自己的部門或業績會被公司重點關注，接下來會倒楣。於是部門之間和人員之間陷入一種敵我意識，其他部門（人）的事情，我們必須偷偷去扯後腿，畢竟他們只要表現好，我們就會被比下去。架構變革，無疑會開闢「地盤和權利爭奪、責任和問題推卸」的戰場。

我一口氣寫出這麼多負面思維，倒不是我憑空臆測，而是我見多識廣。說了半天，講了這麼多癥兆，我的結論卻很簡單：企業難以成功進行架構變革的徵兆多種多樣，但說穿了原因都是在「人」。

FBI警告筆電不應和物聯網裝置共用Wi-Fi網路

隨著智慧家電及物聯網（IoT）應用興起，一般用戶也成駭客下手的目標。美國聯邦調查局（FBI）呼籲大眾，連網攝影機、遊戲機及智慧喇叭等物聯網裝置，切記別和筆電設於同一Wi-Fi網路。

FBI指出，新興家用資訊裝置包括智慧喇叭、智慧手錶、連網攝影機等，不但可能以消費者不知道的方式蒐集資訊、傳到不明去處，還會讓駭客透過駭入上述IoT裝置入侵Wi-Fi網路，再經由家用路由器擴散到各個連網裝置，包括儲存隱私資訊和密碼的筆電。更多內容

Chrome 79出現災情會清空本機儲存和WebSQL

多位開發者回報Android上的Chrome更新到79（79.0.3945.79）版本的時候，本機儲存（Localstorage）與WebSQL都被意外地清空，應用程式將遺失舊有資料。所有的資料都仍然保留在檔案系統中，只是在Chrome 79無法被找到。

目前Chrome 79更新已經釋出，官方解釋，造成本機儲存和資料庫遺失的原因，是因為這些檔案沒有跟著儲存根路徑變更而搬移。

有開發者認為，Chrome 79這起臭蟲事件的發生，代表Chrome的QA失靈，由於多數應用程式都使用資料儲存，開發團隊應該要對重要的本機儲存和WebSQL進行測試。更多內容

Gmail現在可直接把郵件當作附加檔案了

圖片來源／Google

Google預告明年開始針對G Suite用戶推出一項新的Gmail功能，將能把Gmail中的郵件直接以附加檔案的形式寄出，讓使用者可一次寄出多個郵件給同一位收件人，且附加的郵件數量並無限制。更多內容

悠遊卡公司開始試營運電子支付服務「悠遊付」

跨進電子支付服務市場，悠遊卡公司展開電子支付服務「悠遊付」的小規模試營運，號召500名嚐鮮者在雙北地區試用，明年第一季正式推出服務。

國內四家電子票證公司中，一卡通最早於去年9月和Line聯手推出了Line Pay一卡通，成為首家跨入電子支付業務的電子票證業者，之後愛金卡（iCash）、遠鑫（HappyCash）、悠遊卡也相繼取得電子支付業務許可，愛金卡、遠鑫已搶攻電子支付市場，今年2月取得電子支付業務許可的悠遊卡公司，年底終於展開動作。

「悠遊付」為一電子支付錢包服務，支援Android、iOS平臺，用戶在原本的Easy Wallet App中註冊就能開通「悠遊付」，並選擇綁定8家銀行的金融帳戶，當「悠遊付」的帳戶餘額不足時，可以手動或自動從銀行帳戶的存款為「悠遊付」加值。

「悠遊付」最多可綁定20張實體悠遊卡，讓用戶掌握不同悠遊卡的消費明細、卡片餘額，當餘額不足時，可以「悠遊付」為悠遊卡加值。如果用戶忘了攜帶悠遊卡，未來憑手機內的「悠遊付」也能搭捷運、公車。更多內容

IoT整合需求夯，樹莓派大賣了3千萬套

自從2008年問世以來，掀起自造者運動風潮的樹莓派（Raspberry Pi）已經賣出3,000萬套。

樹莓派基金會共同創辦人Eben Upton說，截至今年11月，這套35美元的單板電腦全球已經賣出2980萬套，每月推估銷量在50到60萬臺之間。而在12月初，他們在通路賣出了第3,000萬套Raspberry Pi。

Eben Upton在2008年還在劍橋大學電腦實驗室研究時，為了激發兒童學習程式而發明了Raspberry Pi。現今Raspberry Pi的使用者早已遠超過學生，還包含許多科技玩家，甚至科技公司。Google曾推出過結合Raspberry Pi開發AI語音介面的語音辨識套件Voice Kit。甲骨文今年用1,060臺Raspberry Pi 3 B+，連結成號稱全世界最大的Raspberry Pi叢集，搭載64-bit 4核 ARM Cortex-A53處理器，單核心時脈可達1.4GHz，總共具備4,240顆核心。另外也有人用它來設計分類樂高積木的AI系統。更多內容

G Suite將強制第三方app支援OAuth

圖片來源／Google

近期Google宣布從2020年6月起，將禁止不安全app存取G Suite帳號，第三方app必須支援OAuth。

不安全app是指非Google推出，但以帳號密碼存取Google帳號，包括Google行事曆、通訊錄或電子郵件的app。Google指出，企業員工可能想用iOS郵件app來收發工作相關郵件，但這可能讓G Suite帳號陷入被劫持的風險。由於這類存取方式只驗證帳號、密碼，若帳密因為用戶和其他網站共用密碼而被駭客取得，駭客就可以直接存取G Suite相關資訊。

相反的，app支援OAuth協定讓G Suite可以獲取更多登入資訊驗證是否為用戶本人，防止帳密為第三人所用。OAuth也允許G Suite執行管理員定義的登入政策，像是用硬體金鑰或啟用白名單等安全管控。

Google將以2階段來執行，2020年中用戶不得新增未支援OAuth的第三方app存取，接著在2021年初，全面禁止任何不支援OAuth協定的第三方app存取G Suite帳號。更多內容

Linux 5.6將有VPN新標準

開源VPN WireGuard的核心程式碼將會合併進Linux Net-next樹中，而這代表WireGuard將會在Linux 5.6版本時進入主線核心，而這將使得WireGuard成為Linux VPN的新標準。

WireGuard由Jason A. Donenfeld開發，是專為Linux核心設計的安全網路通道，特色是要提供比IPsec和OpenVPN等傳統VPN技術更好的連接效能。由於傳統的VPN技術，通常配置方法複雜且容易中斷，需要花較多的時間重新協商連接，而且擁有龐大的程式碼基礎，增加了除錯的困難。

而WireGuard的出現便是要解決這些問題，除了配置簡單之外，也使用目前公認最安全的加密方法，而且只有約4,000行程式碼，只有OpenVPN或IPsec的1％，讓安全審核更容易。WireGuard也能建立更加穩定的通道，與現行VPN技術相比，WireGuard連接不需要多餘的交握，可以即時進行連接。WireGuard本身是Linux專案，但是現在已經可以在所有熱門平臺用到，包括Windows、macOS、BSD、iOS和Android上都有實作可使用。更多內容

DEF CON CTF主辦人在HITCON CTF論壇，首度公開PWN College開源課程

圖片來源／臺灣駭客協會

到底要怎麼透過現在流行的CTF（搶旗攻防賽），吸引更多對資安有興趣的人呢？DEF CON CTF主辦單位O.O.O.主辦者Yan Shoshitaishvili（網路暱稱Zardus），正式對外公開PWN College的開源課程，這是他在任教大學，用來培養對資安有興趣學生的入門基礎課程，透過開源方式釋出，希望可以作為全世界培育資安人才的入門教材。更多內容

趨勢科技在臺公布2020資安預測，BEC詐騙、IoT攻擊手法更複雜

趨勢科技發布新一年度的資安預測報告，整理出臺灣在2020年要關注的幾項重點，包括AI詐騙、家用IoT成企業風險，還有可蠕蟲化漏洞的威脅、雲端錯誤配置、容器安全、金融安全，以及5G、CI與OT等面向。

在趨勢的預測報告中，最受注目的資安威脅，就是AI所帶來的風險。趨勢科技資深技術顧問簡勝財表示，過去釣魚與詐騙的威脅持續增加，現在攻擊手法將變得更加複雜，而利用AI技術，所進行的深度偽造與詐騙，就是一大威脅。

例如，過去帶來龐大損失的商業電子郵件詐騙（BEC），透過電子郵件就能達到目的，而隨著AI技術的進步，今年已有透過假冒語音的攻擊案例。舉例來說，如果駭客透過AI模擬聲音與影像來詐騙，日後財務人員接到假冒的視訊電話，看得到對方貌似老闆的臉，聲音也很熟悉，當「老闆」發出命令要人員執行，這時，依照駭客指示去匯款的機率將會非常之高。而且，駭客要取得高階主管的語音與影像，其實不難，透過網路上搜尋就找得到。更多內容

中國隊Tea Deliverers贏得HITCON CTF冠軍，直接晉級2020年DEF CON CTF決賽

在臺灣舉辦的HITCON CTF（搶旗攻防賽）決賽，由來自10個國家、加上Balsn CTF決賽冠軍以及趨勢科技CTF決賽冠軍，總計14個隊伍一起參賽，經歷兩天激烈的競爭，最終結果出爐。

曾在DEF CON CTF獲得季軍的中國隊Tea Deliverers，在本次HITCON CTF首度拿到冠軍；亞軍則是俄羅斯隊LC↯BC，這也是他們第三次拿到HITCON CTF亞軍；至於第三名則是日本隊TokyoWesterns。

由於HITCON CTF決賽獲選為2020 DEF CON CTF的種子賽事，代表獲得冠軍的中國隊Tea Deliverers，也拿到2020 DEF CON CTF決賽的參加資格。更多內容

明年1月起微軟用全螢幕提醒你升級Windows 7

圖片來源／微軟

隨著Windows 7的技術支援，即將在2020年1月14日終止，從隔天起，微軟就會以全螢幕提醒你升級到Windows 10。

根據微軟支援網頁從2020年1月15日起，Windows 7電腦將顯示全螢幕的通知，告知用戶在大限之後仍繼續跑Windows 7 SP1的風險。這個通知會停留在畫面上，直到用戶與之互動為止。

會出現這個超明顯通知的Windows 7版本包括簡易（Starter）、家用入門（Home Basic）、家用進階（Home Premium）、專業版及旗艦版。專業版用戶如果有買延伸安全更新（Extended Security Update，ESU）服務，電腦就不會出現這個通知。

此外以同一網域串連的電腦，或是設定Kiosk模式的機器，也不會出現本通知。更多內容

美國參議院在本周以一面倒的氣勢通過了《自動電話濫用刑事執行與嚇阻法案》（Telephone Robocall Abuse Criminal Enforcement and Deterrence Act，TRACED Act），美國總統川普（Donald Trump）預計下周就會簽署此一法案，對那些非法及詐騙的自動電話（Robocall）展開制裁。

自動語音電話是指業者利用自動撥號技術打電話給使用者，以播放預先錄製好的內容，目的包括行銷、政治宣傳，或是詐騙。美國來電顯示業者Hiya在上周公布的研究顯示，從今年1月到11月，全美有高達546億通的自動語音電話，比去年同期增加了108%，這代表美國民眾平均每個月都會收到14通自動語音電話。

此外，非法的自動語音電話也是美國聯邦通訊委員會（FCC）接獲消費者投訴量的第一名。

在TRACED Act施行之後，違法的自動語音電話業者每通電話最高可被判罰1萬美元；該法案要求電信業者必須部署可用來辨識及分析撥話號碼的STIR/SHAKEN技術，以替消費者封鎖詐騙電話；也要求FCC必須定期提供如何對抗非法自動電話的報告；並將促使司法部針對這類案件採取行動。

挪威瀏覽器業者Valvadi日前釋出最新版Vivaldi 2.10，除了提升作業系統相容性和使用經驗外，還因應被網站不公平對待，在新版中要冒充Chrome。

作為以Chromium為核心的瀏覽器，所有可在Google Chrome上跑的網站Vivaldi理應都能運作順暢，但Vivaldi經常碰到網站不相容的問題。Vivaldi用戶上某些網站時，經常接到升級／更換瀏覽器，否則就無法相容網站的訊息。Vivaldi指出，這是因為當Vivaldi宣告了自己的身份後，遭許多網站主動封鎖。理由有很多，通常是競爭者、對手或有權力的科技公司。

Vivaldi指出，用戶代理程式字串（user agent string）在瀏覽器存取網站時，藉此表明瀏覽器版本和作業系統。但這個系統遭瀏覽器嗅探（sniffing）的濫用，原本是用以對不同瀏覽器或裝置最佳化的技術反而用來差別對待。Vivaldi說，封鎖Chromium為基礎的瀏覽器在2020年根本沒有任何技術上的好處。

該公司說，Vivaldi之前也曾解決這些問題，但問題實在太常發生，有些也很難解決。因此在最新版中，Vivaldi在用戶代理程式字串中拿掉Vivaldi字樣，藉此讓網站無法辨識存取的瀏覽器是Chrome還是Vivaldi。

根據Vivaldi貼出的影片，以其瀏覽器瀏覽WhatsApp Web版、Google Doc及Netflix皆碰到不相容。將用戶代理程式字串改為Chrome後，相容問題都消失了。

即使Vivaldi沒指明，但顯然口中有權力的公司應該是Google。它也不是唯一碰到這類阻撓的瀏覽器。微軟抱怨YouTube曾加了程式碼，以壓低Edge存取的效能。而今年也有測試人員發現，即使改成以Chromium為核心的Edge，也無法使用Google服務及YouTube。

另一以Chromium為基礎的瀏覽器Brave，也採取了相同的自我掩飾手法以免被不公平對待。

新版Vivaldi還加入配合作業系統佈景主題，可選擇搭配明亮或深色主題的功能。2.10版其他新增功能還包括加入顯示與隱藏外掛程式、改善鍵盤控制網址列、以及提升快捷指令效能。

知名吹哨者Edward Snowden在9月出版回憶錄《永久檔案》（Permanent Record），引發美國政府控告Snowden及出版社，本周二法官判決美國政府勝訴，可獲得這本書包括版稅及演講的收入。

美國司法部於9月控告Snowden出版新書以及多次公開演講或透過影片發言的行為，違約及背棄美國信託義務。美國政府同時控告這本書的出版社Macmillan和其母公司Holtzbrinck。

美國政府的理由是，Snowden在中情局（CIA）及國安局（NSA）擔任約聘人員期間，和二個單位簽署了各3份保密協定。合約要求Snowden任何包含機密資訊的出版物，都必須通過兩個單位的預先審查。若Snowden未能這麼做，則所有相關收益都必須歸於美國政府。

法院文件指出，Snowden並未在出版《永久檔案》前將原稿送交CIA或NSA審查，而他也公開承認，他不願將原稿送交事前審查，因為他不希望CIA修改其自傳。司法部基於這個理由，認為Snowden已經違約，並使CIA及NSA無法執行確保機密資訊的任務而對美國造成傷害，因此無權取得這些收入。

Snowden的律師原本要求法官Liam O’Grady允許本案進到調查階段，需要更多證據釐清，美國政府是否對在事前審查的實施上，對Snowden特別關照。不過在周二的判決中，法官認為雙方合約條文已經很清楚，不需再檢視更多證據。法庭也認為Snowden拒絕繳交原稿送審，也使他放棄司法審查的機會。

Snowden也預期會打輸官司。他上個月透過推特公佈了《永久檔案》簡中版的圖檔，因為簡中版也被禁了。他說他知道因為美國政府官司，他一毛都拿不到，不過沒關係，他不是因為錢才寫書的。

在2013年冒險公開了美國政府的稜鏡（Prism）監聽計畫後，Snowden即遭到美國政府控告並註銷護照。一旦他回美國就會被以間諜罪起訴。他目前仍流亡俄羅斯。

假冒為台灣代工業者廣達，並向Google及臉書詐騙逾1.2億美元的立陶宛男子Evaldas Rimasauskas，在本周被判處5年刑期。

現年50歲的Rimasauskas是採用所謂的商業郵件詐騙手法，他在2013年到2015年之間，假冒廣達員工的名義寄送詐騙郵件予Google、臉書及這兩家業者的子公司，要求它們匯款到各地的銀行，還偽造這些受害公司的合約、發票及簽名以取信銀行，把款項匯入Rimasauskas所控制的帳號，總計詐騙了超過1.2億美元。

Rimasauskas在2017年3月被立陶宛當局逮捕，並在同年被引渡到美國。

其實不管是美國司法部的新聞稿或起訴書都未提及廣達、臉書或Google的名稱，而是以Company 1、Victim 1及Victim 2來取代，只說被假冒的Company 1是在1980年代於亞洲成立的硬體製造商，Victim 1則是專門提供網路服務與產品的跨國企業，Victim 2為美國的社交網站。但路透社與彭博社則引述消息來源報導，這3家業者分別是廣達、Google及臉書。

紐約曼哈頓的聯邦檢查官Geoffrey Berman表示，Rimasauskas執行一項大膽的計畫，向美國業者詐騙超過1.2億美元，再將這些資金轉往全球帳號，但這起橫跨全球的高科技犯罪，最後還是得在美國服刑。

此外，Rimasauskas被沒收了近5,000萬美元，也必須歸還2,600萬美元。

 相關報導 【網路犯罪攻擊企業的新趨勢】商業電郵詐騙

社交遊戲開發商Zynga在今年9月遭到駭客入侵，指出Draw Something與Words With Friends兩款遊戲的玩家登入資訊遭到竊取，但並未揭露外洩規模，本周Have I Been Pwned則宣布已收錄了1.73億個來自Zynga的外洩帳號，包含電子郵件位址與加鹽的雜湊密碼。

Have I Been Pwned（HIBP）是由澳洲安全專家Troy Hunt在2013年所創立，該站蒐集了全球資料外洩事件的資料庫，迄今該資料庫已聚集了逾80億筆的外洩紀錄，因此，使用者只要輸入自己的電子郵件帳號，就能知道自己的帳號曾被哪一起外洩事件波及，還能訂閱通知功能，以在自己的帳號外洩時收到通知。

HIBP的紀錄顯示，此一Zynga資料外洩事件發生在9月1日，是在12月19日被納入HIBP資料庫中，總共涉及了1.72億個帳號，內含使用者名稱、電子郵件位址與雜湊密碼。

Zynga除了在今年9月說明了資料外洩事件之外，一直未公布外洩規模，直至現在仍拒絕證實此一數字。

在兩年內發生兩次駭客入侵與資料外洩事件的中國手機製造商一加（OnePlus）在本周宣布，將透過HackerOne執行抓漏獎勵計畫，所提供的獎金從50美元到7,000美元不等。

一加先是在2018年1月時遭到駭客入侵，駭客在一加官網的付款頁面植入惡意程式，以竊取消費者手動輸入的信用卡資訊，危及4萬名用戶的信用卡資訊，包括信用卡號碼、到期日與安全碼。今年11月再度傳出，有駭客存取了消費者的訂單資訊，但未公布受駭規模。

可能是因屢屢出現資安問題，才使得一加決定與HackerOne展開合作，邀請資安研究人員替該公司尋找安全漏洞。

不過，雖然一加將漏洞分類為五種獎勵等級，但並沒有訂出評估標準，只說將基於漏洞的嚴重性與對商業的實際影響來判斷，其重大漏洞的最高獎金為1,500美元，但若是特別嚴重的案例則可提高到7,000美元。

根據Counterpoint在今年第三季的調查，中國市場的手機製造商排行榜的前六名依序是華為、vivo、Oppo、小米、蘋果與魅族，一加並未名列榜上。

1207—1220

 虛擬銀行   ZA Bank   香港  
香港首家虛擬銀行ZA Bank正式啟動試業，僅開放2千名用戶率先體驗
香港金融管理局（金管局）自今年3月至今，共發出8張虛擬銀行牌照，香港首家虛擬銀行「眾安銀行」（ZA Bank）自3月27日獲取虛擬銀行牌照後，歷經9個月時間，在12月18日宣布正式啟動試業（ZA Bank Pilot）。讓指定的香港用戶，在ZA Bank全面開展業務前，率先體驗服務。

ZA Bank表示，試業將以香港金融管理局的金融科技監管沙盒進行。試業初期，ZA Bank將為約2,000名的香港個人客戶提供服務，透過蒐集來自特選用戶的反饋意見，進一步完善銀行服務平臺。 ZA Bank行政總裁許洛聖表示，Z和A同時代表英文字母的end-to-end，象徵ZA Bank要透過科技，重新定義從前臺（App／分行）、中臺（客戶服務／營運部）到後臺（系統），由產品研發到服務流程的決心。

ZA Bank也計畫透過「用戶共創」模式，來與客戶共同打造新穎的銀行互動體驗。 ZA Bank用戶將可體驗真正的全天候銀行服務，透過一站式手機App完成開戶、存款、轉帳等服務。試業期間，ZA Bank將提供多種線上銀行服務，包括遠距開戶、多種貨幣儲蓄帳戶、定期存款、本地轉帳、電子結單服務。

 凱基銀行   AlphaLoan   繳費鬧鐘 
凱基銀攜手AlphaLoan推新服務，可一站式繳7家銀行信貸、28家信用卡費

凱基銀行近期攜手貸款比價平臺AlphaLoan，在LINE上推出跨銀行貸款帳單管理的「繳費鬧鐘」功能，使用者可以自行設定LINE推播，設定鬧鐘來提醒在凱基、花旗、匯豐、遠東、玉山、安泰、三信等7家銀行的信貸還款日，以及28家銀行信用卡的帳單繳款日，同時按下「立即繳費」按鍵，就能完成繳付帳單，一站式完成提醒功能與繳費，更能看到近期繳費資訊，可謂業界首創。

其實，AlphaLoan早在今年1月，即介接了凱基銀行開放的「行動身分認證」與「數位信貸」API，讓平臺會員可以在比價後，直接線上申請貸款。AlphaLoan共同創辦人林建宏表示，會員在平臺上成功申貸後，還提出希望能用手機隨時管理個人每月收入與支出的服務，因此才有了繳費鬧鐘這個新功能，使用者不用再逐一登入各家銀行的行動銀行，在同一平臺上即可統籌管理帳戶支出。

 台新銀行   信用卡紅利   API   LINE Points 
台新銀推信用卡紅利換LINE Points，串連金融、社群生態圈

看準LINE在臺灣的滲透率，以及為了讓信用卡用戶累積的紅利點數有更多元的選擇，台新銀行近日宣布，推出信用卡紅利點數兌換LINE Points服務，台新信用卡友只要加入台新LINE官方帳號，並完成個人化服務綁定，就可以依照兌換比例，將信用卡紅利點數立即兌換為LINE Points。台新銀行表示，此次串連信用卡紅利點數與LINE Points二個點數生態圈，是透過API串接，讓客戶完成點數兌換後，就能馬上在LINE購買貼圖或在實體商店中折抵消費。

 渣打銀行   SC Keyboard Banking 
渣打銀行推鍵盤銀行功能，通訊軟體聊天視窗輸入手機號碼即可轉帳、發紅包給朋友

為了將金融服務無縫帶入消費者的生活場域，渣打銀行12月17日正式推出SC Keyboard Banking服務。渣打銀行個人金融事業處負責人林素真表示，SC Keyboard Banking目前提供轉帳、發紅包、查詢即時匯率等三項功能。而此服務最大的亮點在於，渣打銀行用戶在各種社群平臺或是通訊軟體，包括LINE、WhatsApp、Facebook Messenger、WeChat的聊天視窗，只要直接切換成SC Keyboard Banking鍵盤輸入法，輸入親朋好友的手機號碼，即可完成轉帳交易、發紅包等金融服務。

渣打用戶若是使用選擇好友電話號碼來轉帳給對方的話，渣打銀行會在用戶轉帳完成時，傳送一組網址與密碼到這位好友的手機號碼，再交由受款人開啟網站後，先輸入提款密碼（簡訊密碼）以及手機號碼，確認身分後，受款人再自行填寫想要轉入的銀行代碼與銀行帳戶後，即可領取款項，能做到即便不是渣打銀行的客戶也能收款。

 悠遊卡   電子支付   悠遊付 
悠遊卡公司開始試營運電子支付服務「悠遊付」，明年Q1正式上路

今年2月即取得電子支付業務許可的悠遊卡公司，在近期終於展開動作，12月16日開始小規模試營運的「悠遊付」，對外召募500名嚐鮮者搶先試用，以雙北地區的生活圈為主。悠遊卡公司表示，原來的悠遊卡服務不變，「悠遊付」將擴大支付服務層面，以成為民眾的生活支付平臺為目標。

「悠遊付」為一電子支付錢包服務，支援Android、iOS兩大行動平臺，用戶在原本的Easy Wallet App中註冊就能開通「悠遊付」，並選擇綁定8家銀行的金融帳戶，當「悠遊付」的帳戶餘額不足時，可以手動或自動從銀行帳戶的存款為「悠遊付」加值。「悠遊付」最多可綁定20張實體悠遊卡，讓用戶掌握不同悠遊卡的消費明細、卡片餘額，當餘額不足時，可以「悠遊付」為悠遊卡加值。如果用戶忘了攜帶悠遊卡，未來憑手機內的「悠遊付」也能搭捷運、公車。悠遊卡公司表示，明年第一季預計會推出雙北捷運、雙北公車、YouBike、淡海輕軌，後續會開放全臺的交通領域支付。

 錠嵂保險經紀   AI保單健診系統  
錠嵂啟用新AI保單健診系統，業務員更快掌握保戶舊保單現況
錠嵂保險經紀人公司聯手專精OCR和NLP辨識的洽吧智能，以及擁有保險大數據的昇華科技，共同打造一款AI保單健診系統，保險業務只需用手機拍下保戶的舊有保單，上傳至雲端平臺後，系統就能在幾分鐘內，自動產生保戶的保單健診報告，包括現有的保單明細、保障額度、不同險種的保障分析等，不僅讓保險業務不必再耗費數天騰打舊保單，也節省保戶往返溝通的時間。

洽吧智能技術長沈昇勳表示，團隊先打造一套OCR辨識模型，利用數千萬筆資料訓練出通用的辨識模型後，再利用遷移學習（Transfer Learning）、NLP和保單險種資料，來加強保險知識的術語辨識，進行險種分類等。沈昇勳強調，這套AI系統的辨識精準度能夠到9成以上，還歸功於有一套險專業知識資料庫。這些資料，取自業界保險大數據公司，涵蓋2萬3千多條險種文件資料，幾乎涵蓋全臺灣的保險商品種類。

 數位銀行   Chime  
美國數位銀行Chime身價三級跳，市值已達58億美元
成立於2013年的美國數位銀行Chime，在近日完成5億美元的E輪融資，估計其身價已達58億美元。該公司在今年3月進行2億美元的融資時，市值只有15億美元，9個月以來的身價三級跳，顯示投資人不畏仍處於大幅燒錢階段的新創企業，依然對金融科技抱持高度興趣與信心。

Chime並未建立實體分行，主要透過行動程式提供金融服務，被視為傳統銀行的挑戰者，它並不向用戶收取帳戶透支或維護費用，在去年5月達到100萬帳戶門檻，今年用戶所建立的帳戶數量更成長至650萬，可望在今年創下2億美元的營收。CNBC分析，Chime成功的關鍵之一為它要求用戶必須開通「直接存款」（direct deposit），以使用更多的優惠功能，直接存款涵蓋了薪資或退休金的直接存入，促使該帳戶成為用戶的主要金融帳戶。

 LINE Pay   跨境支付   Event Sourcing 
LINE Pay為搶攻跨境支付7,800萬用戶市場，改用事件匯流模式進行即時交易清算

為了能因應明年上線的跨境支付服務，滿足7,800萬用戶以及合作商家的需求，讓交易與清算更加快速，LINE Pay打造了新系統架構。LINE Pay開發團隊負責人蘇詠順表示，採用了Event Sourcing（事件匯流）的模式，來設計在各系統間的資料傳遞，也達到足夠的穩定度和安全性。

在LINE Pay新系統架構上，當一筆交易進來時，除了放到OLTP的資料庫之外，還會同時儲存一份到Kafka的佇列中，再將這筆交易資訊所需要給清算系統的資料，最後送到NoSQL資料庫儲存。當每天需要執行撥款時，則再透過另一個清算系統的批次作業，來把資料放進清算資料庫中。

「這樣做的好處是，可以即時把資料從交易資料庫，後送到做清算的資料庫。」蘇詠順強調。同時，他也提到，在NoSQL資料庫以及清算資料庫的新架構下，也有助於LINE Pay未來進行清算資料分析時使用。

 林務局   林產品生產履歷   區塊鏈 
林務局靠區塊鏈為合法林產品生產履歷加分，抑制非法林木盜伐
林務局與奧丁丁集團合作，結合區塊鏈技術推出臺灣林產品追溯系統，消費者只要選購貼有台灣木材標章的合法林產品，用手機掃描上面的QR Code，就能看到該產品的生產過程，不必擔心買到非法的林產品，成為助長盜伐行為的幫兇。

這套應用區塊鏈技術的林產品追溯系統，在奧丁丁協助下，林務局將原本的林產品發證系統介接區塊鏈，將木材業者一開始取得的國有林林產物的採取許可證、搬運許可證等資料，到後續加工的過程，都記錄在區塊鏈上，利用區塊鏈不可竄改、溯源等特性，提高合法林產品的公信力。 目前臺灣林產品追溯系統開放業者申請，先由建築中心進行初審，再由林務局複審，審核通過才能取得QR Code及生產履歷。林務局表示，目前約有40家業者提出申請，17家通過複審。

圖片來源：攝影／洪政偉、李靜宜、蘇文彬
責任編輯／李靜宜
 金融科技近期新聞 
1.  台新銀行推「Discover跨國提款」，特定外國旅客全臺3,700臺ATM皆能提領現金
2.  主流區塊鏈平臺開發太難，Tata推區塊鏈開發套件DevKit提供預建元件組合降低門檻
3.  微軟更新Azure區塊鏈服務簡化資產令牌創建與管理
4.  VMware在臺介紹新一代K8s產品線Tanzu，臺灣市場先聚焦金融業
5.  Visa警告：加油站POS系統成為FIN8駭客集團的新目標 
6.  以投資挖礦為名行詐騙之實，3名男子被逮​ 
資料來源：iThome整理，2019年12月。

蘋果在本周除了宣布將與Amazon、Google及Zigbee，共同推動Connected Home over IP智慧家庭專案之外，也宣布開源可供非商業使用的HomeKit配件開發套件（Accessory Development Kit，ADK），以刺激開發人員打造HomeKit原型裝置。

Connected Home over IP專案的目的在於建立一個智慧家用裝置的共通標準，以讓單一裝置可同時相容於不同的智慧家庭服務及語音助理，而上述3家業者正好是全球數位語音助理的領先者，它們分別開發了Siri、Alexa與Google Assistant。

HomeKit為蘋果所設計的軟體框架，以讓iOS裝置用戶可透過設定來控制智慧家用裝置，目前已有上百種品牌提供相容於HomeKit框架的配件，包括攝影機、門鈴、空氣濾淨器、風扇、冷氣、車庫門、電燈、門鎖、喇叭、灑水器、電視及開關等。

正式版的HomeKit套件名為HomeKit Accessory Development Kit（HomeKit ADK），蘋果這次開源的則稱為HomeKit Open Source ADK。蘋果說明，開源版可用來設計非商用的智慧家用配件的原型，若要開發商用版配件，則必須透過MFi專案取得正式版的HomeKit ADK。

Mozilla在討論區宣布將要用Riot/Matrix來代替原本的IRC聊天系統，Riot/Matrix主機將會交由Modular.IM託管，這項決定是Mozilla在經過一個月正式試用Riot/Matrix之後所做的決定，將於2020年1月啟動新服務，在3月的時候關閉原本的IRC服務。

Matrix是一個開源且輕量級的即時通訊軟體協定，這個協定設計允許用戶使用單一通訊服務供應商的帳號，與使用其他服務供應商的用戶通訊，進行線上聊天、VoIP以及視訊通話，法國政府也是用Matrix來打造官方通訊應用程式。

Matrix標榜具有強健的可存取性與社群安全性，提供安全的回報工具，每個社群成員可在確保自身安全的情況下，回報違反Mozilla社群準則的事件，Mozilla官方提到，許多IRC的替代產品都具有強健且成熟的API，但是Riot/Matrix是唯一一個有提供社群參與準則回報與運作工具的產品，可以讓個人用戶使用保護機制，支援社群健康。

而Matrix則提到，他們一直以來都是開放標準的擁護者，期望Riot之於Matrix的關係，能夠像是Firefox之於網頁一樣，Matrix嘗試提供比IRC還要更為豐富的端到端加密、去中心化聯邦聊天室、HTTP API和任意資料同步等功能。

Mozilla社群在9月正式試用過Riot/Matrix後，回饋了許多的意見，特別是在行動應用程式的改善上，專家反應了螢幕閱讀器的設計問題，Matrix官方也承諾將改進功能可存取性，而Riot的使用者體驗也仍在調整當中，目前優先改進首次用戶體驗（FTUE），使用戶以流暢且以可預測的方式操作應用程式，另外，在房間目錄以及房間創建流程也會有一些重大改變。

用戶當然也可以不使用Riot聊天客戶端，以其他客戶端來存取Mozilla實例，官方舉例，weechat-matrix也是一個發展快速的客戶端，可以支援Mozilla IAM單點登錄。

Google Cloud SQL服務會自動維護用戶的資料庫實例，以改進效能和更新功能，而Google現在提供用戶更多的維護控制能力，新增進階通知與維護重新安排功能。

為了維護資料庫的穩定以及安全，Cloud SQL會自動修補和更新資料庫實例，無論是MySQL、Postgres、SQL Server或是底層的作業系統，而為了要執行維護，Cloud SQL會讓實例暫時離線。Cloud SQL也讓用戶能夠設定維護的時機，而維護是根據實例個別應用，因此可強制部分實例進行維護，對於不太需要維護的測試與開發實例，則可取消維護。

用戶可以設定更新的日期與時間，選擇在資料庫活動較少的時機，像是星期六的半夜進行，另外，維護時間也可設定相對時間，以較早或是較晚等順序安排同一專案的實例更新。

而Google現在更新維護功能設定，讓用戶可以在即將到來的維護活動前一周收到通知，以提早開始做準備，用戶也可以在收到通知之後，視情況重新安排維護時間，將時程往後延一周，或者立即執行維護工作。

今年我是第二次應邀參加AWS全球用戶大會re:Invent（去年是其他同事參加），面對熟悉的場地、無數可參加的活動，前年來這場活動採訪時，大會安排給媒體的行程相當充實，我雖然參觀主辦單位與贊助廠商設置的展區，但並未去聆聽分場議程，今年，我決定趁著採訪空檔去看看更多現場活動的狀況，當然，這麼做的最主要的目的，是希望進一步了解前年AWS發表的Nitro架構，掌握該項技術目前發展的狀況，另一方面，資訊安全是我們很關注的議題，因此，也想更深入了解AWS最新推出的雲端安全服務。

人潮更勝以往，是我在每天行走於飯店與會場之間的第一印象。

根據大會公告的消息，今年總共有超過6萬人參加，當然，這麼多人的活動和住宿，需要極大、集中的場地來負荷。

因此，今年大會的配置，應該跟往年差不多，會場同樣橫跨拉斯維加斯市中心的六間飯店（根據大會活動指南的地點分類，其實應該有十多間飯店），媒體的大部分活動都集中在最北端的威尼斯人酒店，但飯店內部的人員移動規模，其實就已經相當可觀，多數人都是在1樓走動，雖然不至於壅塞，但還是令人感到很有壓力。

今年我發現一條新路線，那就是直接從這間飯店2樓通行到大會所在的會議中心，雖然要橫越大運河購物中心，容易迷路，幸好主辦單位在這裡設置了多個路標，讓我們得以避開主要人潮，順利走到會場的2樓（而且不用忍受1樓賭場的二手菸）。

這次活動，我也特別到其他飯店去聽那邊的幾場演講，雖然飯店之間距離不遠，步行可及，也有巡迴交通車，但要抵達飯店裡面的演講大廳，都要花上一些時間。有天我走到位置居中的百樂宮酒店，單趟就要花上20分鐘（馬路距離約1哩，還需穿越飯店內部的商店街、賭場，到達會議中心），於是，後來我還是決定以威尼斯人酒店開設的演講為主。

而這個飯店延伸的大型會議中心場地，分為超大型主題演講會場與展示區Sands Expo、大型會議廳Ballroom，以及一般會議廳，今年我參加幾場演講是在Ballroom類型的場地舉辦，很特別的是，一進入門口，人潮就按照事前預約（在App上進行登記），以及等待候補狀態，區隔成兩個隊伍，依序入場。不論是何種場地，一旦人數超出負荷，門口的管制人員就不放行其他人進場。也因為人數實在太多，為了能夠承載所有人都想參加的大會主題演講，主辦單位也鼓勵大家不一定要親自到威尼斯人酒店來聆聽，除了提供網路線上直播，各飯店也設有轉播演講全程的地方。

單是在威尼斯人酒店裡面，AWS也利用了一些先前我沒看過的場地來舉行演講。例如，他們有幾場演講就辦在劇院區（沒錯，就是可以那種讓你看戲劇和舞蹈表演的場地，觀眾可坐在不同樓層），甚至，在會議中心不同樓層的休息區，也能舉行各種應用領域的小型演講。

在這場大會期間，主辦單位舉行各式技術應用與企業轉型的演講之餘，當然也有許多精采的場邊活動。有一場相當別開生面，令我印象最深刻，那就是AWS特別在Sands Expo的B廳角落，安排Amazon Prime Video影音平臺的科幻影集首映會——在大會第三天傍晚，AWS搶先播放即將上線的The Expanse第四季第一集（該影集改編詹姆斯·S·A·科里的《蒼穹浩瀚》），吸引不少人前來觀看。

其實，這個場地在大會一開始進行時，就是讓參加者報到的地方，由於re:Invent大會在原本就設置了超大背投式螢幕，並且一直播放著音樂，因此，善用這個場地的設備，趁機向特地來此參加大會的AWS用戶宣傳亞馬遜Prime影音，展現這個平臺的數位內容，也是合情合理，提供娛樂性之餘，也讓我們了解亞馬遜公司的其他業務。