武漢肺炎打亂了幾乎所有廠商的行銷與開發商活動。為了降低這類不確定性,微軟決定將該公司會計年度2021年,也就是2021年7月以前的活動,全部轉為線上形式。
根據一名微軟MVP開發人員貼出的微軟官方通知指出,受到COVID-19影響,微軟一直持續關注全球狀況,並不斷審視評估全公司的實體活動策略。微軟決定將公司2021年7月以前的所有內、外部活動轉為數位優先,包括預定明年3月28日到4月2日舉行的MVP及RD高峰會。
但微軟表示會持續評估狀況,如果情況允許仍希望舉辦實體活動。
受武漢肺炎疫情影響,微軟已經接連將MVP高峰會,以及即將舉行的Build開發商大會,改成線上形式。此外,對7月的Inspire大會及9月舉行的Ignite,微軟也決定不會有實體活動,該公司還在研議其他供開發人員交流的數位管道。
如果疫情一直沒有好轉,已經延至今年9月的Computex及明年消費電子大展(CES),微軟也可能不會派員參展。
微軟的內外開發或行銷大會舉行與否都牽連甚廣。ZDNet報導,Build 大會約有5千人參加,而Inspire 及Ignite 與會者,更是多達4萬及2.5萬人。
深圳農商行 行動銀行 微服務
深圳農村商業銀行用微服務架構重新打造新一代行動銀行
今年3月初,深圳農村商業銀行(簡稱深圳農商行)正式上線新一代行動銀行。去年3月,深圳農商行找來螞蟻金服的團隊,並使用其行動應用開發平臺mPaaS(Mobile PaaS),以及金融分散式應用架構SOFAStack進行新一代行動銀行的升級改造。深圳農商行的行動銀行架構,從過去的傳統集中式架構,改成了分散式的微服務架構,把原本的行動銀行業務模組拆分,一口氣分割成40個微服務。
透過mPaaS,該銀行統一了各團隊開發標準,也制定新的App開發周期,改用MDS來發布服務,快速進行版本發布;加上MAS行動分析,直接從日誌中抓取App效能數據來優化。
深圳農商行新一代行動銀行App平均首次啟動時間為0.48秒,第二次啟動甚至縮短到0.33秒,比過往提升了4倍以上。99%的交易可以在1秒之內完成。
ICICI Bank WhatsApp
顧客不能出門就服務進門,印度ICICI銀行改用WhatsApp提供金融服務
印度為防止武漢肺炎疫情擴大,自3月25日在全國範圍內採取了21天的封閉措施,禁止13億人口的非必要外出。為了提供銀行的個人用戶在不出門的狀況下仍能使用金融服務,印度工業信貸投資銀行(ICICI Bank)於3月30日宣布,在WhatsApp上推出金融服務。
ICICI銀行的用戶能在WhatsApp上,查看儲蓄帳戶餘額、近期的3筆交易、信用卡限額、凍結/解除凍結金融卡與信用卡,以及獲得預先批准的即時貸款的詳細資訊等功能,而所有訊息也都會進行端對端的加密處理。此外,用戶還能在WhatsApp上操作,取得距離最近的3個ICICI銀行ATM與分行資訊。
此作法是,讓用戶使用先前在銀行開戶的手機號碼,儲存ICICI銀行在WhatsApp的官方商業帳號的電話號碼作為聯絡人資料,並向該號碼發送“Hi”,即可啟用金融服務。
其實,為了讓銀行客戶在疫情期間,還能以數位化方式持續使用金融服務,ICICI銀行在3月中旬即推出一個數位銀行平臺ICICI Stack,將自家金融服務API化,在該平臺提供了將近500項金融服務,包括開立數位帳戶、貸款、支付、投資、保險等金融服務,要讓零售商、電商、金融科技等公司可以串接,甚至還提供了沙盒環境供使用者測試。
武漢肺炎 金融業 居家辦公
多家金控要求連假前往國家級警報景點者,居家辦公12天
清明連假期間,國內大量人潮湧入熱門景點,多家金融業者為避免連假出遊潮成為防疫破口,紛紛盤點自家員工出遊史。富邦金控在4月5日晚間開出第一槍,要求曾在連假時至指揮中心宣布的11處熱門景點等擁擠場所的員工,自6日起須進行自主健康管理、在家辦公12天。國泰金控也於5日緊急盤點自家員工出遊史,約有1,200位曾到過這些景點,直接要求這些員工自6日起,一律居家上班兩周,其餘員工則須全程配戴口罩辦公,每日早晚須量體溫。
新光金控也傳出在5日當晚跟進,員工本人或同住親友曾去過這些風景區者,從6日至17日也改為居家辦公。就算沒有居家上班,也有不少金融機構提高防護措施,如第一金、中信金、台新金、兆豐金、合庫等,也於5日晚間清查自家員工出遊史,並要求員工上班時,全程配戴口罩。
BMW 供應鏈 區塊鏈
BMW用區塊鏈技術即時追蹤零組件與原料來源
知名車商BMW利用區塊鏈來打造了一套供應鏈管理解決方案PartChain,希望能更快速地追蹤複雜的零件來源,提高汽車生產用零件和原物料的透明度和可追溯性。BMW採購與供應鏈網路負責人Andreas Wendt提到,PartChain能在供應鏈中,防止資料遭篡改,並且可用來驗證資料的一致性。BMW在2019年的時候,開始起用PartChain,先用於追蹤零組件,BMW還期望未來能用在關鍵原料的追蹤上,從開採原物料的礦山追蹤到冶煉廠,這也將帶動BMW採購作業更加數位化。BMW最終目標是要建立一個跨整個產業的供應鏈開放平臺,讓資料可以安全且匿名的交換與共享。
除了供應鏈技術,PartChain也使用了AWS和Azure雲端服務,讓沒有參與區塊鏈的供應鏈成員,也能夠追蹤零組件的來源。在2019年的試驗計劃,全球已經有34家工廠加入,今年則預計還會有約10家供應商加入。(詳全文)
資料共享 聯卡中心 國際信用卡發卡組織
聯卡中心與國際信用卡組織傳將交換信用卡交易大數據,首波鎖定跨國交易
最近,聯合信用卡中心董事長劉燈城對經濟日報披露了一項資料交換的合作消息。根據報導,聯合信用卡中心將與國際主要信用卡組織VSIA和Master Card兩家公司要開始交換信用卡交易大數據,先以實體交易資料為主,但沒有交換電商上的跨境刷卡交易資料。
目前已經揭露的資料交換類型,第一波以跨國交易的資料為主,包括兩種,一種是外國信用卡持卡人來臺灣的交易,另一種則是臺灣信用卡用戶出國時的刷卡交易資料。交換這兩類大數據的目的,是為了進行境外交易行為模式的分析之用。聯合信用卡中心還對媒體透露,未來將會交換更多資料,不過,沒有進一步的細節和時程。
Open Banking 信用卡比較 AI
開放銀行又一創新應用,新創iCard.AI推信用卡服務平臺
臺灣開放銀行進程目前停留在第一階段公開資料查詢,日前,政大金融科技國際產學聯盟與其第三方服務業者會員iCard.AI,共同發布了一項信用卡與信用貸款的比較服務。
iCard.AI表示,利用AI技術,以及銀行公開資料,即時更新全臺灣信用卡優惠,累積共7,000商家,超過20,000筆信用卡優惠。他們將信用卡優惠分類到30多個消費場景,利用機器學習公正評分排序全臺信用卡,讓消費者自己來判斷。消費者甚至可以用口語詢問無腦神卡是哪張、美食外送刷哪張、追劇享樂刷哪張、最強首刷禮是哪張,搜尋比較最新信用卡優惠、完整權益。
iCard.AI目前已與多家銀行合作,包括國泰世華銀行、中國信託銀行、玉山銀行、台新銀行、台北富邦銀行和花旗銀行。
幣安 CoinMarketCap
半年吸引全球2億使用者造訪,幣安買下加密貨幣資訊平臺CoinMarketCap
全球大型加密貨幣交易中心幣安,近期宣布已買下知名的加密貨幣資訊追蹤平臺CoinMarketCap,雙方並未公布交易金額,但專門報導區塊鏈與加密貨幣消息的The Block指出,此一交易的規模約為3億美元。成立於2013年的CoinMarketCap,提供了全球數百種加密貨幣的相關資訊,包括它們在全球交易中心的交易價格、它們的市值、交易量,以及交易量的排名等。
根據雙方的協議,未來CoinMarketCap仍將獨立營運,而且不干涉彼此的經營,以確保CoinMarketCap資訊的客觀性。The Block引述消息來源報導,未來CoinMarketCap的經營模式,很可能從現有的以廣告支撐為主,轉移到訂閱服務。此外,幣安看上該站流量,根據統計,過去半年來CoinMarketCap吸引了全球超過2億使用者造訪,可望替幣安帶進新用戶。
圖片來源/ ICICI Bank、深圳農村商業銀行、BMW、iCard.AI
責任編輯/李靜宜
金融科技近期新聞
1. 銀行局公布臺灣2月電子支付總使用人數達751萬人,較1月增加25萬人
資料來源:iThome整理,2020年4月。
聯合國旗下的世界智慧財產權組織(World Intellectual Property Organization,WIPO)本周宣布,中國在2019年超越了美國,成為國際專利申請數量最多的國家,打破了美國蟬連了40年的紀錄。而若以單一組織的申請量來看,則由華為居冠。
根據WIPO的統計,去年中國透過該組織專利合作條約( Patent Cooperation Treaty,PCT)系統,所申請的國際專利數量為58,990筆,而來自於美國的申請數量則是57,840筆,中國首度擊敗了美國,取代了美國在PCT自1978年開始營運以來的霸主地位。
PCT為一國際專利「申請」制度,而非國際專利的「授權」制度,發明人可先向PCT提交專利申請,進行初步審查,再根據審查結果決定是否向逾150個PCT會員國各別提出正式的專利申請。PCT申請制度的主要優點在於,它只要提供一種語言版本的書面報告,就能夠作為在其它國家的專利申請基礎,簡化了要在不同國家申請專利的流程。
去年全球藉由PCT所提出的專利申請總數為265,800筆,比2018年成長了5.2%,當中光是來自中國的申請量便占了22.2%,美國則占了21.8%。
WIPO總幹事Francis Gurry表示,中國在國際專利申請量的快速成長,突顯了創新長期以來向東方的轉移,現在亞洲市場所提出的專利申請量,已占了PCT業務的一半以上。
中國在創新上的成長不容忽視,1999年時,WIPO只收到276筆來自中國的國際專利申請,到了2019年便增加到58,990筆,20年來成長了200倍。
不過,Gurry也說,儘管專利已成為全球競爭的核心,但創新並不屬於零和遊戲,全球日益進步的創新代表會有新的藥物、通訊技術,以及其它可能造福所有人類的解決方案問世。
除了中國及美國之外,在PCT申請數量上排名前五名的,還有日本的52,660筆,德國的19,353筆,以及南韓的19,085筆。
若從單一組織的申請量來看,則由中國的電信巨頭華為居冠,在去年總計向PCT提出4,411筆的國際專利申請,日本的三菱電機以2,661筆居次,三星也有2,334筆,高通為2,127筆,第五名也是來自中國的Oppo Mobile Telecommunications,占了1,927筆。
資安部落格Krebs on Security周二報導,微軟已經買下corp.com網域名稱,避免了一場資安專家擔心可能導致數百萬企業網路流量,被駭客劫持的災難。
2月間,資安專家Brian Krebs的部落格首先報導,網域名早期先驅Mike O'Conner因為邁入70高齡,打算出售他在1990年代註冊的網域名。O'Conner始終堅持不肯賣出corp.com,原因在牽涉數百萬企業的資安,corp.com的網域持有者,可以接收到來自全球數十萬家大型企業,經由網路流量傳來的系統密碼、郵件和其他機密資料。
但是O'Conner最後堅持不下去了,即將賣出corp.com網域,開價170萬美元,他說希望微軟能買下,若微軟不肯買下,而被某個組織犯罪份子或國家資助的駭客團體取得這個網域名的話,恐怕將成西方企業的災難。
Krebs解釋,原因出在域名空間衝突(namespace collision)的問題,導致類似DNS劫持(DNS Hijacking)的結果。首先,企業內網上的Windows電腦,是透過微軟的Active Directory(AD)來驗證同網路上的其他主機,而它們是利用Windows中稱為DNS域名下放(DNS name devolution)的功能找尋彼此,它算是一種簡易作法,不用說明完整的網域,即可找到其他電腦或伺服器。例如一臺在internalnetwork. example. com上的Windows電腦,想連上網路芳鄰上的磁碟drive1,用戶在檔案總管上輸入\\drive1\就好,不必打入internalnetwork. example. com,因為這段Windows會做掉。
其次,早期支援AD的Windows,例如Windows 2000 Server預設將AD路徑取為corp,而許多企業也都沿用,將corp包含在公司內網網域名,卻造成原本專屬於公司內網的網域名稱,卻和網際網路上解析的網域名混淆。這在企業內網愈建愈大,以及行動辦公室型態興起後,就會引發資安疑慮,例如一臺AD管轄的員工筆電在星巴克上網,其流量會「迷路」而從內網跑到網際網路上以corp.com為名的網域,這表示任何控管corp.com的人,都能被動攔截數十萬臺電腦的私密通訊內容,包括電子郵件、檔案。
安全專家Jeff Schmidt 2019年在美國國土安全部贊助下,做的一項DNS域名空間衝突的研究,他設了一個網域為corp. com的網站,結果大約一小時的測試中就接到1,200多萬封信,其中包含一些相當機密的企業資料。Schmidt結論說道,任何掌控corp. com的惡意人士,可以取得財星2000大企業的機密,且只要進入企業內網就能橫向移動,控制數萬甚至數十萬臺機器形成殭屍網路。
微軟本周發出聲明指出,為了保護系統安全,微軟建議用戶在規劃內部網域及網路名稱時,採行安全的作法,微軟也證實已買下corp.com網域。
微軟多年來數度釋出安全更新,避免域名衝突的可能性,新版Windows也不再有此問題。但是更新Windows一來需要將整個AD網域關閉一陣子,二來是更新後應用程式效能會下降,因此也有企業心存僥倖而未修補。
Krebs指出,微軟買下corp.com網域可說是最好的辦法。但他警告,如果企業AD網路名稱使用的是非自己所有的網域名,像是corp.com以外的網域,都可能碰到類似風險。
Google周日(4/5)釋出4月份的Android安全更新,修補包括Android作業系統項遠端程式碼執行(RCE)漏洞,以及開發框架、媒體、核心元件及其他元件的安全漏洞。
本次更新修補的重大風險軟體漏洞,幾乎全落在Android作業系統,共有4項,皆為RCE漏洞,最嚴重的可讓遠端攻擊者利用惡意檔案在合法程序內執行任意程式碼。受影響版本涵括Android 8、8.1、9到10版。
綜合4月1日及4月5日的安全更新,Google其他還修補了15項中到高度風險的Android漏洞,包含7項開發框架中包括權限升級及存取敏感資訊漏洞、核心元件3項權限升級漏洞、2項存在媒體框架的權限升級漏洞,以及FPC元件中權限升級及存取敏感資訊的3項漏洞。
本次更新還包含高通(Qualcomm)元件30多項漏洞修補程式,涵括一項WLAN元件及8項封閉元件中的重大風險漏洞,以及分布於相機、影像、音訊及核心元件及封閉元件的高風險漏洞。
Twitter及Square的創辦人Jack Dorsey本周宣布,他將把價值10億美元的Square股份,捐贈給自己的Start Small LLC慈善事業,用以贊助全球的武漢肺炎(COVID-19)疫情救助行動,在肺炎的威脅被解除之後,將把公益目標轉移至女性的健康、教育與無條件基本收入(UBI)等議題上。
1976年生的Dorsey是在2006年,與Noah Glass、Biz Stone及Evan Williams共同創立了Twitter,這是全球微型部落格的前鋒,初期僅允許使用者輸入140個文字,隨後在2017年放寬到280個文字,但僅限非亞洲語言。現在Twitter依然是個熱門的服務,也是美國總統川普(Donald Trump)最愛用的社交平台。
Dorsey還在2009年與Jim McKelvey及Tristan O’Tierney,共同創立了行動支付公司Square。不管是Twitter或Square都是紐約股市的上市公司,他使得Dorsey登上Forbes 400的全美富人排行榜,以42億美元的身價排行第168名。
Dorsey自己則說,捐贈10億美元的Square股份,約佔自己財產的28%(換算之下身價為36億美元)。
從Dorsey的言論看來,他同時成立了Start Small基金會(Foundation)與Start Small 責任有限公司(LLC),但選擇把捐款投入Start Small LLC,原因是LLC的運作相對有彈性,與臉書創辦人祖克柏(Mark Zuckerberg)的Chan Zuckerberg Initiative慈善事業,以LLC經營的原因類似。
但捐款可能出自於Start Small基金會或Start Small有限公司,Dorsey承諾不管是哪個組織的捐款轉移或運用,都會公開且透明。
此外,Dorsey也解釋他之所以捐出Square而非Twitter的股份,原因僅是因為他在Square所持有的股份,比在Twitter多。
會選擇在此時把大筆資產投入公益,是因為他認為外界的需求愈來愈急迫,而他希望能在有生之年看到影響力,同時拋磚引玉,以吸引更多人投入公益。同時他也相信,女性的健康、教育及收入,將是全球現在所面臨之各種問題的最佳長期解決方案。
隨著數位支付的使用率提升,線上的支付安全升級也成必然趨勢,不論是防止信用卡被惡意人士盜刷,以及商家保存消費者信用卡號所引發的安全疑慮,一直都是關注焦點。近日,Visa也公布臺灣的支付安全未來3年發展計畫。
根據該公司的規畫,代碼化技術(Tokenization)的採用將更廣泛,不只是過去Apple Pay、Google Pay等行動支付採用,而且,對於商家行動App的支援,以及線上商店的卡號保存等,該技術將全面實施,至於新一代3D Secure(3-DS)驗證的採用,臺灣金融發卡機構將在今年10月中旬陸續做好準備,部分商家明年1月中旬更是必須強制採用。
近日,Visa對外公布近三年的臺灣支付安全發展藍圖,進一步提升線上支付的安全,當中有些階段性目標是必須的規範,有些則是建議的選項,期望讓金融業者與提供電子商務的企業,日後在安全方面的投入,可以有更具體的方向。
基本上,他們提出了兩大支付安全焦點值得關注,首先是代碼化技術的推動,將朝向企業商家推進,其次是新一代3-DS驗證系統,已經正式在臺推動,Visa並提出具體時程,讓相關業者都必須提前做好準備。
以代碼化技術而言,它在2014年成為支付產業標準組織EMVCo的正式標準,該技術將信用卡的16位數號碼,置換為另一組16位字串,最主要的目的,就是為了降低資料價值,讓實際的信用卡號碼只會使用在一開始的請求過程中,之後的存放與傳送過程,其實都是使用另一組代碼。
目前,這樣的安全技術早已應用在Apple Pay、Google Pay與Samsung Pay等國際行動支付當中,讓使用者在這些行動支付中所綁定的信用卡,更有保障性。然而,隨著行動支付越來越普遍,Visa也期望將代碼化技術擴及更多應用環節,尤其是對於資料在商家的面向。
例如,在第一階段,今年10月1日前,他們預計要讓商家導入應用程式內交易代碼化,當消費者在應用程式內支付選項中,就可以使用上述已採代碼化技術的行動支付工具來付款。換言之,在商家App內即可呼叫Apple Pay、Google Pay等應用。
到了2021年,Visa期望代碼化的支付資訊,能夠為商家在資訊安全帶來多一層的防護。在1月1日,先是所有收單行(提供刷卡機或網路刷卡機制的機構)的支付閘道業者需支援EMV規格代碼化,國內這類業者包括喬睿科技與CyberSource等,接下來希望在在7月1日之前,促成儲存信用卡資料的大型店家能達到要求,例如,每年處理100萬筆交易的商戶,在支付帳戶存檔方面都要使用代碼化技術,以保護這些儲存敏感資料,而其他企業也要做好準備,因為在一年後,2022年的7月1日,他們希望所有商戶都要準備就緒,保護信用卡資料都要使用代碼化技術。
這麼做有什麼好處?簡單來說,現在的線上刷卡很方便,一些網路商店會詢問消費者是否儲存信用卡號,讓日後消費不用再次輸入,而代碼化技術則可降低資料價值,信用卡組織希望這樣安全的技術,也能用在商家的App之內,讓店家App本身不用處理卡號的資料,而收單行下面的支付閘道業者也要先有能力處理代碼化交易,更進一步,就是讓所有電子商務業者都這麼做,使真正信用卡的資料,不會因為保留在商家或傳送過程遭駭,而被盜取。
對於支付安全的未來發展,Visar近日公布臺灣近三年的支付安全發展藍圖,推動EMV 3D Secure(3-DS 2.0)驗證,以及商戶採用代碼化技術是兩大主軸。
綜觀Visa在此方面的推動,對於商家儲存信用卡資料的安全性,顯然該公司是希望在三年內,讓商家要以更安全的代碼化技術,來替代傳統保護方式,進一步提升支付的安全。
然而,目前上述這些代碼化技術的應用,其實還不是強制的規定,對此,Visa風險管理部副總經理沈玟芳表示,目前該公司在支付安全提供業界一個方向,等到全球市場的採用程度到達一定水準,不排除讓所有業者都納入。
至於國內商家App的代碼化技術應用現況如何?例如,去年台灣大車隊推出的55688 App,在綁定信用卡功能上,採用了業者提供的Token代碼化服務,但國內其他企業店家的App是否也都這麼做,例如,國內全福利中心的PX Pay,以及新光三越百貨的Skm Pay,雖然在其官方網站上指出符合PCI DSS支付卡產業資料安全標準的規範,卻未提及代碼化技術,到底是否已經採用這項技術呢?沈玟芳表示,國內多數業者都還沒有使用代碼化技術,她進一步解釋,目前在App綁定信用卡方面,稱之為Card On File Tekonization,而應用程式內交易代碼化則不同,在應用程式付款時,除了看到輸入信用卡,如果可以在App內看到Apple Pay、Google Pay、Samsung Pay等支付選項,就代表提供In-App Tekonization,也就是今年他們正推行的應用程式內交易代碼化,兩者都是強化現有支付安全的方式,可降低真實信用卡號的外曝風險。
第二個焦點在於新一代的3-DS驗證的推動,今年終於有了明確的時程,同時,有3類型商家在明年來臨之前必須要遵循。
關於3-DS驗證,1.0版是在2000年推出,國內金融業者都已經導入,至於2.0版,則是在2016年公告。特別的是,沈玟芳指出,自今年開始,Visa開始將3-DS 2.0改稱「EMV 3-DS」。
這項機制,主要提供線上交易用戶身分認證,防止消費者未授權的線上刷卡行為,像是需要接收SMS簡訊來確認,只是過去在3-DS 1.0時代,其實許多國內商家都未提供這個驗證功能,或是選擇只在註冊時採用,不在每筆交易時採用,原因在於當時用戶體驗不好,可能會增加商家的掉單率。而新的EMV 3-DS驗證機制,將利用更多資料來驗證與安全,期望減少消費者煩瑣的驗證步驟,並讓更多商家採用。
以全球各國來看,新版3-DS驗證在歐洲的發展腳步最快,在臺灣也有業者採用,例如,中國信託商業銀行於2019年10月,率先宣布導入這項新的驗證系統,根據該公司說明,過去3DS 1.0系統僅能使用網頁開啟密碼驗證系統,這種方式在行動裝置上網刷卡消費時,驗證視窗容易影響消費體驗,也容易遭受惡意攻擊,引導消費者連結至惡意的釣魚網頁。而在金融業者開始導入新的驗證系統後,當時並無法得知有那些國內商家開始布局。
現在,Visa有了答案,EMV 3-DS驗證在這次公布的安全支付藍圖之中,他們提到幾項目標。首先,他們將促成全臺金融發卡機構,在今年10月1日前,要有9成都導入EMV 3-DS驗證系統。
接下來,到了2021年1月16日,將開始針對高詐欺風險的電子商務商戶做要求。目前規範那些業者需要採用?沈玟芳表示,目前臺灣強制要求3個類別的商戶,包括交通運輸類、旅行業與電腦服務業,主要原因在於,這些類別在2019年比較容易受到網路攻擊。
而國內主流電商是否使用3-DS?她表示,目前他們持續與收單機構進行溝通,同時說明臺灣的電商風險其實並不是那麼高,因此沒有規畫在第一階段的2020年就要完成,他們認為,主要風險都在國外,所以先行採用,例如,歐洲電商的實施比較早。
較值得注意的是,沈玟芳指出,若是商家提早採用EMV 3-DS驗證,這其實意謂著金融機構也要先就緒,主要是因為亞太地區責任移轉計畫,將在4月18日開始,店家可將詐欺責任轉嫁到發卡機構。
最後,他們則是希望給予消費者控制權,時間是在2022年7月1日之前。例如,使用者在沒有出國時,可以自行把國外交易關閉,或是將網路消費關閉,等到消費時才開啟,他們希望銀行可以把這樣的功能,設計到App或網路銀行上,讓客戶加入風險決策過程。
在2019年6月,Visa曾在臺說明3-DS 2.0驗證機制的不同之處,當時就提到,新交易驗證機制將利用更多資料來驗證與安全,像是網購使用的IP位置、瀏覽器時區、時間與電商名稱,以及信用卡持有人的郵件、行動電話、寄送地址等資訊,這些內容將幫助加速判斷交易真偽,簡化流程並降低對於商家掉單率的影響。
|
特別值得一提的是,目前國際支付產業標準組織EMVCo也在推動無摩擦認證Frictionless Authentication,包括像是與FIDO聯盟合作,並與Secure Remote Commerce(SRC)工作小組持續推動。
對於去年剛成形的SRC標準,這次我們詢問Visa亞太區總裁Chris Clark,他表示,這項機制目的是讓交易更加流暢,對持卡人與商戶來說,可以更方便。而這樣的機制需要以代碼化技術做為基礎,同時也跟EMV 3DS驗證系統相輔相成,也是他們發展的一個環節。
微軟 公有雲 用量限制
為平衡用戶的使用體驗,Azure採取臨時性措施來限制服務的資源使用量
針對激增的雲端使用需求,微軟稍早宣布新資源將優先給第一線救護人員使用,使得用戶產生了許多疑慮,為此,微軟近日發布了一份公告,說明服務近期的使用情況,並回答相關疑問。以3月下旬為例,微軟觀察到北歐、西歐、英國南部、法國中部、東亞等7個雲端地區的服務需求尤其顯著,並坦言,這些地區部分運算資源的部署成功率低於平時99.99%的水準值。不過,微軟強調,儘管服務的需求明顯增加,但未出現重大的中斷情況,且因應需求的激增,他們正加快在這些地區增加新的資源容量。
而就其頒布的資源優先支援準則,將造成用戶什麼樣的影響,微軟表示,他們正採取一些臨時性的措施,來平衡每位用戶的服務使用體驗,包含限制免費服務的使用,以優先提供容量給既有用戶,還有限制特定資源的新訂閱申請,這相當於軟性的配額限制。微軟表示,用戶若需更多資源可提出提高限制量的請求,如無法即時獲得足夠的用量,微軟則進一步建議用戶,選擇需求量較低的雲端地區作為替代地區,使用該服務。(詳全文)
GCP平臺 雲端服務 故障
Google雲端基礎架構發生問題,導致資料庫服務Cloud SQL等服務故障逾12小時
Google雲端於太平洋時間3月30日晚上6點左右,發生服務故障事件,導致部分用戶無法正常使用多個服務,包含資料庫服務Cloud SQL、資料融合服務Cloud Data Fusion和流程編排服務Cloud Composer。事發後,Google隨即於雲端服務的狀態資訊頁表示,因Google雲的基礎架構設備出現了問題,造成用戶無法建立或刪除Cloud SQL實例,還有使用Cloud Data Fusion和Cloud Composer時,將遇到較高的錯誤率,而且暫無解決方案可採取應對。Google持續更新修復進度,不過,一直到隔日早上7點,Google才宣布問題全面排除。整起事件歷時超過12小時,而Google並未說明其如何修復基礎架構的問題,也未提出任何將採取的改善措施。(詳全文)
雲端流量 協作工具 醫療優先
用量暴漲7倍的服務不是Azure,微軟澄清只有Teams服務義大利用戶數成長775%
武漢肺炎(COVID-19)促使雲端及協作工具的使用需求大增,微軟於3月28日公布其雲端服務負載量的增加情況,他指出,自家雲端服務在實施社交安全距離或就地避難命令的地區,流量近期增加了775%。不過,2天後,微軟又發布了一份聲明,更正其說法,改為,「過去一個月內,Teams服務於實施社交安全距離或就地避難命令的義大利,通話和會議月用戶數增加了775%。」且除了更正官網文章的內容,微軟也向美國證交所發布了一則更正訊息。外界認為此舉是為防止用戶因飆升的使用量,而轉向使用其他公有雲業者的服務。 微軟進一步表示,Teams每日用戶數已經超過4,400萬,而這些用戶一周內產生的每日會議和通話時間達9億分鐘。其Windows虛擬桌面用量成長則超過3倍之多,此外,因美國政府使用PowerBI來和民眾分享COVID-19疫情的資訊,使得PowerBI的用量一周內增加42%。微軟也再次申明,疫情期間優先提供Azure新資源給醫療急救領域的用戶使用的政策不變,包含支援緊急通報應用、災害警告系統、醫療用品供應管理及交貨系統,還有遠端工作的Teams核心功能等。(詳全文)
IBM 雲端業務 人事命令
找來業主當產品舵手,IBM延攬美國銀行前技術長擔任雲端平臺最高主管
IBM雲端暨認知軟體資深副總裁Arvind Krishna於4月6日正式接替Ginni Romett,擔任IBM執行長一職,他向員工發表了一封公開信,宣示混合雲和AI為公司的策略目標,同時宣布將延攬美國銀行技術長Howard Boville,出掌雲端平臺的最高主管,也就是他留下的職務空缺。Howard Boville於2012年加入美國第二大銀行美國銀行,一路負責建立和執行其雲服務,直至今年3月初傳出他已離開該銀行。而去年11月,為吸引銀行將關鍵應用和工作負載搬上公有雲,IBM於自家雲端上,打造符合金融機構法遵、資安和恢復力需求的雲端平臺,當時,美國銀行便是該平臺的第一個用戶。Howard Boville則將於5月1日正式加入IBM。
為全力推動混合雲與AI,Arvind Krishna宣示三大行動方向。一是運用IBM資源,包括開源碼及安全方面的服務,讓用戶開發的關鍵應用可在任何地方執行;第二是推動Linux、容器和Kubernetes為新標準;第三則是持續滿足客戶需求。(詳全文)
安全調查工具 日誌資料 機器學習
AWS正式推出安全事件調查工具Amazon Detective,可自動收集分析用戶的日誌資料
AWS在去年re:invent大會上發布的資安工具Amazon Detective,近日正式推出。這個全託管服務可自動處理大量AWS日誌資料,讓用戶可在雲端環境發生資安事件時,像是駭客、惡意程式入侵等,進行調查,來找出問題的原因和影響範圍。Amazon Detective會從AWS現有安全服務,包含AWS Guard Duty和AWS CloudTrail,還有Amazon Virtual Private Cloud Flow Logs中,自動擷取用戶整個AWS環境的資源行為和互動資料,匯總到圖模型,進而利用機器學習技術來產出帳戶行為的圖表,以幫助用戶了解特定情況,像是找出異常的API呼叫或是異常的執行實例流量。AWS強調,用戶不需自行編寫程式碼,或是配置與調校查詢。
Amazon Detective是個多帳號的服務,可以將多達1,000個成員帳號匯總到1個主帳號中,不過,因其屬地區性服務,用戶需在每一個需進行分析工作的AWS地區,分別啟用該服務。用戶可從AWS管理控制臺中啟用該服務,並且配置需要監控的成員帳戶,以及用來匯整資料的主帳戶。而該服務的使用費是根據其從各安全服務擷取的用戶資料量,按GB向用戶收費。(詳全文)
Azure 5G 邊緣運算
布局5G邊緣運算市場,微軟推小型版邊緣雲服務Azure Edge Zones
鎖定5G邊緣運算的需求,微軟日前宣布推出Azure Edge Zones,挑戰AWS去年底和Verizon合作推出的邊緣雲服務AWS Wavelength。Azure Edge Zones是一個小型版的Azure雲服務,整合了Azure服務、應用平臺及管理功能,與Azure具有相同的Azure Portal、API及開發與安全工具,可開發跨雲、本地部署及邊緣環境的分散式應用,或使用AI及機器學習處理即時分析的需求。此外,該服務還整合各業者如Affirmed、Mavenir、Nuage Networks、Metaswitch、Palo Alto和VeloCloud的5G軟體、SD-WAN與防火牆技術,讓用戶使用。
由於Azure Edge Zones仰賴電信業者的資料中心將Azure結合5G網路,微軟也宣布將和AT&T合作,在洛杉磯、達拉斯及亞特蘭大地區提供該服務,而雙方預計在今年夏天前,於洛杉磯推出服務的正式版。下一階段,微軟則計畫將該服務推向紐約及邁阿密,並增加合作的電信業者,包含加拿大Rogers、Vodafone及阿聯電信。
Azure Edge Zones之外,微軟同時還推出另一個服務Azure Private Edge Zones,它整合的是Azure Stack Edge及電信網路專線,鎖定希望將邊緣運算搬到自家資料中心的大型企業。 (詳全文)
AWS 微軟 上雲
AWS推出專為微軟工作負載設計的上雲方案Migration Acceleration Program for Windows
AWS近日宣布正式推出,針對微軟設計的搬遷方案Migration Acceleration Program for Windows,執行大規模微軟工作負載的搬遷工程。該方案提供規範性指引,以及專家、工具和服務的諮詢支援,來降低用戶上雲的風險和成本,並協助用戶採用雲原生和開源技術,來降低授權衍生的成本。整個方案分三階段進行,首先是準備階段,旨在讓用戶了解進行搬遷工程需具備的能力,其次是調動資源的階段,讓用戶建立可支援搬遷工程的維運能力,同時,建立搬遷計畫,最後才進入搬遷或升級的階段,由AWS 合作夥伴成員和the AWS專業服務團隊協助用戶實行計畫。(詳全文)
Office 365 消費版本
刺激消費市場雲端營收,微軟Office 365消費版本將改名並增加更多功能
為了提升消費市場的雲端營收,微軟日前宣布Office 365消費版本從4月21日起,改名為Microsoft 365,價格維持一樣,而既有Office 365消費版用戶將陸續轉換到Microsoft 365服務。微軟表示,Microsoft 365將以現有Office 365為基礎,在Word、Excel及Powerpoint融合AI和模板,例如文字糾錯、帳戶管理功能等,協助用戶編輯文字、設計簡報或管理財務。現今Office 365個人及家用版皆提供雲端Office 365、OneDrive雲端儲存空間1TB,及Skype撥打手機或固網的60分鐘通話時間,目前已有3,800萬名訂閱用戶。Microsoft 365也將提供二種方案,分別是個人(Personal)及家庭(Family),家庭版方案則提供最多6人使用。(詳全文)
圖片來源/微軟、Google雲端、AWS
更多Cloud動態
1. VMware正式推出採用K8s API的vSphere 7,測試版則累計約1千名用戶使用(詳全文)
2. IBM Cloud終於跟進其他公有雲龍頭,宣布最新裸機伺服器將採用AMD第2代 EPYC處理器(詳全文)
3. 印度政府鼓勵民眾使用雲端硬碟,減少實體文件傳播病毒的機會(詳全文)
4. 行動程式分析機構App Annie:視訊會議程式下載量呈十倍數成長(詳全文)
5. AWS更新Redshift推出更小巧的RA3執行實例成員(詳全文)
資料來源:iThome整理,2020年4月
ZDNet近日接獲讀者爆料,義大利電子郵件服務email.it遭到駭客入侵,駭客取得了該站的60萬筆用戶資料,在向email.it勒索不成之後,轉而在黑市中兜售,包括用戶的明文密碼、安全問題、電子郵件內容及附件等。而email.it也已向ZDNet證實此一意外事件。
位於義大利的email.it,專門提供個人或企業的電子郵件解決方案,可根據用戶需求採用客製化的網域名稱,並依照所需的儲存空間計費。
然而,有一無名(No Name,NN)駭客集團本周透過Twitter宣布,他們早在兩年前就入侵了email.it的資料庫,而且取得了該平台60萬用戶的使用者名稱、密碼、簡訊、傳真、郵件內容與附件等機密資料。
根據ZDNet的報導,NN駭客集團潛伏在email.it的這兩年間,持續竊取該平台伺服器的機密資料,之後還向email.it勒索,希望該平台能夠支付一些獎勵來交換平台的漏洞資訊,但遭到email.it拒絕,email.it選擇向義大利警方求助。
這使得NN駭客集團轉而在黑市中,打包兜售該站自2007年到2020年的用戶資料,以及email.it所有網路應用程式的原始碼,售價從0.5個比特幣到5個比特幣不等(3,500美元到22,000美元)。
email.it則向ZDNet證實了此一意外事件,表示已修補漏洞並向警方報案,且被駭的伺服器上,並未存放用戶的金融資訊。
科技防疫再進擊,中央流行疫情指揮中心聯手HTC健康醫療事業部DeepQ和通訊龍頭Line,共同開發了一款居家檢疫關懷系統,也就是Line聊天機器人疫止神通,讓居家檢疫民眾透過Chatbot每日上午的推播,來主動回報健康狀態,協助第一線人員關懷。疫止神通自4月3日正式上線以來,截至7日,已有9,843位居家檢疫民眾使用。
今年初武漢肺炎(COVID-19)爆發以來,政府不只在醫療領域超前部署,更藉助科技來防疫,像是1月底就啟動的健保卡旅遊史查詢、傳達正確防疫資訊的疾管署Line聊天機器人疾管家,以及口罩實名制系統、用手機QR Code掃描就可填寫的入境電子健康聲明書,甚至是防止居家檢疫或隔離民眾趴趴走的電子圍籬等。
3步驟完成登記,每日推播回報健康狀況
不只如此,這次,為加強把關居家檢疫者的健康狀態、協助第一線工作人員,中央流行疫情指揮中心今(8日)還揭露了一款Line聊天機器人疫止神通,只要簡單3步驟,就能上手使用。
首先,居家檢疫民眾須先加入疫止神通好友,再來選擇語言、同意個資聲明,最後輸入身分證字號、護照號碼和入境日期等基本資料,就完成了(如下圖)。
.JPG)
負責疫止神通資料串接的核心人物、衛福部資訊處處長龐一鳴指出,這些基本資料,會同時比對移民署相關資料,來確認居家檢疫民眾身分。
接著,負責疫止神通開發專案的DeepQ資深處長游山逸指出,疫止神通會於居家檢疫期內,每日上午來推播訊息,讓民眾來回報健康狀況(如下圖)。回報內容包括了體溫和9種症狀,像是流鼻水、咳嗽、腹瀉、全身無力、味覺或嗅覺喪失等。此外,疫止神通也會詢問民眾是否就醫,以利第一線關懷人員安排。
.JPG)
「如果居家檢疫民眾過了中午,都還沒回報,第一線人員會主動打電話關懷,了解民眾狀況。」游山逸也補充,要是民眾中午過後,出現不適症狀,疫止神通也會提供當地民政關懷中心聯絡方式,或是1922防疫專線給民眾。
另一方面,疫指神通也會告知民眾居家檢疫的剩餘天數,避免民眾記錯日期而遭罰。此外,系統也會在第13、14天和解除居家檢疫當天,發送相關注意事項,來提醒民眾,居家檢疫期滿後,仍需進行7天自主健康管理。最後,自下周起,Line也將免費提供Line Music、Line TV等影音串流服務,來給居家檢疫民眾使用。
自2月醞釀,克服兩大挑戰如今終上線
這些看似簡單的應用,卻是醞釀已久的成果。游山逸指出,衛福部和自家團隊自2月時,就開始構想打造一個Chatbot,來輔助居家檢疫作業。於是,大家開始分工,由衛福部資訊處扮演跨部會溝通角色,負責串接系統、建置一個資料庫,來整合相關部會的資料,比如移民署、疾管署等,來給負責開發前端應用的DeepQ團隊介接。
他也坦言,這對團隊來說,是一大挑戰。因為,不只要串接許多系統,「還須顧及各縣市後續的關懷模式,得長時間與有關單位溝通,來進一步設計疫止神通。」
不只如此,對團隊來說,還有另一個考驗。「由於疫情快速變化,疫止神通功能須隨時調整,」他舉例,像是居家檢疫期滿後,系統會提醒民眾再多進行7天的自主健康管理,就是因為近期出現22天才發病的個案;此外,近期也出現嗅覺、味覺喪失的病例,「這些症狀也隨即納入疫止神通中。」另外,他也指出,Line聊天機器人雖有定位功能,但系統目前並未啟用,未來將視情況而定。
另一方面,除了疫止神通,指揮中心團隊也自4月5日開始,每天定時發送簡訊給居家檢疫和居家隔離民眾,民眾可藉此回報自己的健康狀況。指揮中心指出,不論是疫止神通的內容還是簡訊,都會整合到防疫追蹤系統中,供第一線關懷人員決策。對所有團隊來說,科技防疫沒有終點,還須隨時保持靈敏,才能快速因應。文◎王若樸
刑事警察局(刑事局)宣佈破獲國內最大的盜版影音網站「楓林網」(8maple.ru),查獲該站由陳姓、莊姓兩名工程師成立,估計侵權內容影片上萬支,侵權金額至少台幣10億元,目前「楓林網」首頁也被導向刑事局的查禁說明頁面。
根據刑事警察局的說明,這兩名工程師在桃園虛設廣告公司,實際上經營盜版影音網站「楓林網」,他們利用境外的雲端服務放置盜版影片內容,提供免費美劇、臺劇、陸劇、韓劇、日劇或歐美影視內容,供不特定民眾觀看,再從網路廣告點擊中賺取不法利益,每月獲利估至少400萬元。
刑事警察局電信偵查大隊花了半年左右時間,從盜版內容、網路廣告金流動向,鎖定兩名工程師,並凍結兩人名下存款及不動產,共計6,500萬元。同時也和美國電影協會(Motion Picture Association,MPA)、日本CODA(內容產品海外流通促進機構)合作,交換情資、跨海蒐證提告。
因違反著作權法第91、92條重製、公開傳輸、公開播放,恐面臨三年以下有期徒刑、拘役,或科或併科新臺幣75萬元以下罰金。目前兩名嫌犯各以50萬元、30萬元交保。
電信偵查大隊表示,嫌犯是利用境外的雲端服務OVH,在境外的法國、加拿大、烏克蘭、羅馬尼亞等地25部主機,存放盜版影音內容,供民眾免費觀看,並從廣告點擊獲利。根據相關紀錄,楓林網從2014年至今,但實際上網站存在的時間可能更久。
據瞭解,嫌犯坦承利用自身的專業知識,破解合法影音網站的保護機制,取得大量的影音內容,設立網站專門提供免費的盜版影音內容。
電信偵查大隊也發現,可能因楓林網經營已久,為了擴大獲利,他們將腦筋動到其他網站,以盜版影音內容設置其他網站,甚至仿冒知名論壇、影音服務網站,吸引不知情的民眾觀賞,擴大廣告點擊營收,甚至有正牌網站有意買下仿冒網站。
行政院在4月7號發函各公務機關禁用Zoom之後,教育部也同步要求各校禁用Zoom作為直播教學的視訊工具,並全面移除教育雲「線上教學便利包」關於Zoom的使用說明文件。由於多數學校在過去兩個月內,已經陸續展開遠距教學的演練,該決策也對各級學校產生不同程度的衝擊。
比如說,臺北市19所國高中小學大規模使用的線上教學平臺酷課雲,原先內建了Zoom、Adobe Connect兩款視訊服務,臺北市教育局近期更因應爆量的直播授課需求,緊急短租了150間Zoom線上教室的授權,但教育部禁用Zoom之後,酷課雲的Zoom教室也只能停用,只剩90間Adobe Connect線上教室。
「但我們認為影響不大,因為150間Zoom只有短租兩個月,而且停課高中原先使用教室就是Adobe Connect。」臺北市教育局資訊教育科科長陳秉熙表示,北市教育局正在研擬新的直播授課方法,要改讓各校彈性選擇市面上免費的視訊軟體,比如Microsoft Teams、Cisco WebEx、Google Hangouts Meet等,再由老師將直播教室的連結代碼貼到課程區,讓學生連出平臺上課,「這個好處是,老師不用再受限於酷課雲預設的直播軟體,我們也不用擔心直播教室數不夠的問題。」
不過,陳秉熙也說,由於其他廠牌的視訊服務沒有內建在酷課雲中,老師無法從酷課雲後臺直接看到學生的出席狀態,因此,需要在課堂中落實點名,來作為學生出席的依據。同時,也可以結合酷課雲派送作業、上課素材、試題來跟學生互動,藉此從後臺觀察學生的學習狀況,學校也可以進一步了解全校師生的互動情形。
而對於臺北市以外的國高中小學來說,大多是自由選用不同廠商的視訊服務,再搭配教育部教育雲的教學資源來直播上課。比如新北市的樹林高中,選擇在校內推動Google Hangouts Meet,「因為我們老師可以用自己的校務行政系統帳號,登入新北市親師生平臺,裡面可以直接使用Google的應用程式。」樹林高中教務處主任吳錦琇表示,由於校內主推Google Hangouts Meet,所以受政策影響較小。
然而,另一所位於基隆的中山高中就沒這麼幸運,「教育部宣導要線上教學的時候,我們找人來來校內上課,老師也去縣市政府研習,所以大家對於Zoom的使用方法比較熟悉。」中山高中教務主任許釋霞表示,為了讓師生盡快上手,學校官網也放上Zoom的使用教學,最近遠距教學演練也多用Zoom進行。教育部臨時宣布停用後,除了要再找合適的平臺,還要找時間重新演練,「而且教育部認為Zoom有資安問題,那其他選擇就真的沒問題?我們也在觀望。」
基隆中山高中官網提供師生Zoom的使用方法。
不只中小學受影響,也波及不少大專院校。比如政大電算中心教學研究組組長張鋤非就苦笑:「對我們的影響可大了。」政大近兩週以來,已經熟悉用Zoom進行直播教學演練,且除了教學,各類會議、甚至下周開始的招生面試,都預定以Zoom作為視訊溝通工具,「目前來看,已經納入排程的課程或會議就有100多場,將全部受到影響。」
Zoom停用後,由於政大師生均有G Suite帳號,因此Google Hangouts Meet成為接下來的視訊服務首選。另外,政大的WM5及Moodle教學平臺中,原先就有採購人數上限為200人的JoinNet服務,各會議發起人可在一開始設定會議人數,同一時間的所有會議人數加起來不超過200人即可。「我們預計要將JoinNet的總人數增加到1,200人,大概是現在的6倍,這是考量到網頁伺服器及網路頻寬的可負載上限,來讓師生使用。」張鋤非說。
政大遠距教學指引中,已經加註禁用Zoom作為直播教學的視訊服務,更將Zoom的說明全面移除。
對於停用Zoom的政策,教育部網路及資通安全科科長王東琪說明,教育部是基於保護學童隱私的考量,才建議各級學校全面停用Zoom,且教育雲一直以來,也提供多種視訊服務的教學指引給老師參考,如Microsoft Teams、Google Hangouts Meet等,「只是現在是陣痛期,本來熟悉Zoom的老師,需要時間去熟悉其他工具。」
為了因應企業IT資料量的持續暴漲,由重複資料刪除與壓縮構成的資料縮減技術(Data Reduction),在這兩年有了重要的進展,不僅應用面向更寬廣,從特定領域邁向通用環境,運作也更有效率,出現了一系列可幫助卸載資料縮減運算負擔的硬體加速技術
考量武漢肺炎疫情以及在家上班模式對大眾的影響,繼延後多項既定措施後,本周微軟與Google,再度宣布關閉安全性不足驗證的措施,將其推遲到日後。微軟延後關閉Exchange Online的基礎驗證(Basic Authentication)到明年下半,而Google禁止G Suite用戶存取不安全App的計畫,也將日後再說。
微軟去年宣布,將於今年10月關閉Exchange Online現有租戶的基礎驗證。在基礎驗證中,App會在每次呼叫時傳送用戶名稱及密碼,雖然很容易設定,但也容易讓駭客竊取用戶帳密,因此微軟希望推動以OAuth 2.0為基礎的身份驗證及授權。微軟預定今年10月13日終止Exchange Web Services(EWS)、Exchange ActiveSync(EAS)、POP、IMAP及 Remote PowerShell對基礎驗證的支援。
受到武漢肺炎打亂企業運作之故,微軟將把期限延到2021年下半,詳細日期則視疫情發展而定。
但針對新建立的租戶,微軟仍然會預設關閉基礎驗證。且現有租戶若已沒有用量紀錄者,微軟也會按原定計畫從今年10月關閉基礎驗證。此外,微軟也說會持續完成推動POP、IMAP、SMTP AUTH,以及 Remote PowerShell對OAuth 2.0的支援。
無獨有偶,Google也在本周宣布禁止G Suite用戶存取不安全應用(less secure App,LSA)計畫,無法如原定時程執行。
不安全應用(Less secure App,LSA)是指非Google推出、但以帳號密碼存取Google帳號,包括Google行事曆、通訊錄或電子郵件的第三方App。Google認為這種App可能讓用戶帳號被劫持,去年12月Google要求所有G Suite用戶,必須使用支援OAuth協定的App。
這項計畫原本要從今年6月15日啟動。屆時G Suite用戶必須使用支援OAuth的新App,才能登入Google帳號。而從2021年2月15日起,Google將禁止所有以不支援OAuth的第三方App(包括現有及新App)存取G Suite帳號。這影響以CalDAV、CardDAV和IMAP、及Exchange ActiveSync等協定登入Google帳號的App。
但受到COIVD-19影響,Google說上述時程都不適用了,且擴及所有App,包括以IMAP或 Google Sync存取的Apple iOS Mail App,Google會日後再提供新實施時程。
不過為了安全起見,Google仍然建議用戶轉為使用OAuth App,因為G Suite系統更容易辨識用戶身份,防止被他人冒名使用,而且也允許G Suite執行管理員定義的登入政策,像是使用硬體安全金鑰等。
因為武漢肺炎攪局,兩大軟體公司已經陸續宣布暫緩Edge,以及Chrome 81功能開發,展延部份MCSA、MCSD、MCSE認證效期半年,本周Google還宣布Chrome 80暫緩實行跨網域cookies政策。
由於武漢肺炎(COVID-19)疫情影響,對不少企業都造成衝擊,這也包括了要求員工在家工作的Google,Google對外解釋在這個特殊的時期,他們在審核Android應用程式上,將會有一些時程的調整,而商店指南以及訂閱,也有因應疫情的新作法。
Google因為工作環境的調整,使得他們應用程式審核的速度變慢,現在可能需要7天或是更長的時間,才能完成審核,而且隨著疫情以及公司政策的變化,審核的時間可能會有所波動。Google也表示,他們可能會優先審核部分重要的應用程式,這些應用程式不會受到審核推延的影響。
而且為了讓用戶能夠快速且準確收到跟武漢肺炎疫情相關的資訊,Google會考慮優先審核由政府或是公共衛生組織,所發布、委託或是授權的應用程式。Google也提醒開發者,想要控制應用程式上線時間,應該使用定時發布功能(Timed Publishing),如此在應用程式通過審核後,開發者可以在Play控制臺手動發布應用程式。
同時為了要提供使用者精確和重要資訊,凡是政府或是公共衛生組織發布、委託和授權的應用程式,且其中不包含任何獲利機制,像是廣告、App內購買或是App內捐贈,才能在應用程式資訊中引用與武漢肺炎相關的訊息。
另外,由於目前像是活動票務,以及提供公共服務這類應用程式,業務皆受到武漢肺炎疫情衝擊,影響用戶訂閱意願,Google表示,開發者可以透過延遲收費以及暫停訂閱的方式,留住用戶直到疫情過去,而對於提供醫療、線上服務和健康保健相關的應用程式,開發者想要降價或是提供免費服務,都能夠利用Play Billing服務獲得協助。
Google在本周二(4/7)釋出了Chrome 81,該版本原本應在今年3月17日發表,但因受到武漢肺炎疫情的影響,而延宕至今。
Chrome 81主要改善了對虛擬實境功能WebXR 的支援,並首度支援Web NFC標準,另也修補了32個安全漏洞。Google原本計畫要在Chrome 81移除對TLS 1.0與TLS 1.1加密協定的支援,亦因疫情的關係而準備延後到Chrome 84。
其中的WebXR Device API可用來存取有關虛擬實境的輸入與輸出能力,它在去年12月釋出的Chrome 79中成為預設功能,在Chrome 80完全取代了WebVR,Chrome 81中的WebXR Device API則新增了兩項支援擴增實境的功能。
至於Web NFC則是近場通訊(Near Field Communications,NFC)技術的網頁版標準,該技術允許距離10公分之內的裝置彼此通訊,而Web NFC則讓網站能夠在該距離內讀取及寫入NFC標籤。
目前Web NFC在Chrome 81中處於原始試用(Origin Trials)階段,這是Google在測試網路平台新功能,還得兼顧實驗安全時所採行的方式,通常會限制實驗時間與用戶規模。
Google預期,Web NFC將開啟許多應用,例如在參觀博物館時提供更多的細節,或是用在庫存管理,也能自一個會議徽章上讀取資訊,而且非常容易使用。
Chrome 81亦修補了32個安全漏洞,當中有3個屬於高風險漏洞,它們分別是位於擴充程式與音訊的釋放後使用(Use after free)漏洞,發現這兩個漏洞的研究人員各自獲得了7,500美元與5,000美元的抓漏獎勵,另一個則是位於WebSQL的越界讀取漏洞,該漏洞價值3,000美元。
在全球大流行的武漢肺炎打亂了Chrome的出版時程,該瀏覽器原本每6周就會更新一次,在Chrome 81遲到了3周之後,Google已決定直接跳過Chrome 82,而Chrome 83的時程則會提前3周,目前預計將在5月中旬發表。
義大利最大新聞媒體ANSA宣布,與安永(Ernst & Young)旗下的EY Advisory S.p.A.合作,開發應用區塊鏈技術的新聞追蹤系統。ANSA是義大利最大通訊社,縮寫音譯為安莎社(ANSA),其擁有24家義大利報紙媒體,每天發送3,500則新聞,以及1,500張照片給義大利媒體、政府機構與國際組織。
ANSA執行長提到,最近他們發現,有許多惡意人士利用他們的品牌發布虛假消息,因此決定提供用戶驗證新聞來源的方法。ANSA的目標是要利用區塊鏈技術來顯示新聞來源,強化組織、讀者之間的信賴關係,讀者可以使用稱為ANSAcheck的新聞追蹤標籤,檢查在ANSA平臺、其他編輯出版物,以及社交媒體等第三方上的新聞,其歷史以及來源。
整個區塊鏈系統具有幾項重要的功能,除了讓讀者查看新聞歷史,和顯示主要消息來源之外,也允許讀者將閱讀的新聞,與ANSA的來源進行比較辨識真偽,而且ANSA也能追蹤其新聞的使用狀況。
ANSA的解決方案以EY OpsChain可追溯技術作為基礎,將公開交易記錄在以太坊(Ethereum)區塊鏈上;整個平臺的基礎是智能合約,可以產生新聞加密字符,用來驗證新聞是否來自ANSA,每當產生一個新聞項目的時候,都會產生一個加密雜湊儲存在EY區塊鏈中,供其他人公開驗證。
當讀者在查看ANSA.it網站上發布的文章時,瀏覽器會將文章文字,與儲存在區塊鏈中的加密雜湊進行比較,當兩者相匹配,則作為驗證戳記的ANSAcheck標籤就會出現,任何人也都可以將文章的雜湊與區塊鏈的版本作比較,以確保資訊正確。
ANSA認為,在這個突發事件或是新聞,可能受到高度關注的時期,ANSAcheck可以提供讀者一種驗證新聞的解決方案,利用區塊鏈應用程式,讓ANSA能夠以安全且可靠的方法,產生和發送數位內容,以維持讀者的信賴。
因在家上班而使用量大幅成長的視訊會議平臺Zoom,其Windows與macOS版本的應用程式,相繼被研究人員發現重大漏洞。網路安全公司VMRay惡意程式研究人員Felix Seele指出,macOS版的應用程式會在未經使用者同意就在背景擅自執行安裝,這是駭客植入惡意軟體常見的手法。
另一個被資安研究者Objective-See發現的程式漏洞,則是Zoom應用程式向使用者要求權限時,能允許駭客程式碼注入,進而控制Mac電腦的視訊鏡頭和麥克風。至於研究員Mitch在推特上揭露Windows版用戶端程式漏洞,則是與UNC注入有關,駭客能藉此得知Windows的密碼。上述3個漏洞Zoom已經完成修補,並推出4.6.9版軟體。詳全文
圖片來源:Felix Seele
視訊會議系統的使用量爆增,趁機攻擊與干擾會議進行的亂象也日益嚴重。先前FBI警告,美國已發生多起駭客隨意闖入Zoom會議的事件,該國密西根州檢察官指出,在武漢肺炎流行期間,鎖定視訊會議發動攻擊或是任意闖入的行為,將觸犯各州與聯邦法令,面臨罰款與判刑。
這種影響線上會議進行的行為,當地稱作「Zoom轟炸(Zoom-bombing)」,駭客的舉動,會是闖入正在進行的視訊會議或線上課程,然後發布色情照片、仇恨照片,或者是威脅言論。
對於一般使用者,當地檢察官則是呼籲要採取FBI推出的手則來防範,例如不要公開舉辦會議或是課程,並且落實由主持人管理螢幕分享功能等措施。詳全文
為了防範武漢肺炎疫情蔓延而興起的「在家工作」風潮, 導致Zoom視訊會議平臺使用量爆增,然而該平臺卻接連爆發隱私與安全問題。對此,Zoom的創辦人暨執行長袁征親上火線,承諾將在未來90天凍結新功能的開發,把所有工程資源轉移到解決平臺的安全及隱私問題。
再者,該公司打算會同外部專案及使用者代表,共同審核Zoom的資訊安全,並且準備推出透明度報告,以及強化抓漏獎勵專案等措施,來改善Zoom的安全性。詳全文
視訊會議軟體Zoom的資安疑慮引發高度討論,不僅用戶端軟體存在嚴重的漏洞,採用的加密措施等級未達宣稱層級,種種的資安疑慮下,國內開始有業者付諸行動,原本與Zoom合作銷售企業行動視訊會議方案的中華電信,宣布停售該產品。
該公司表示,近期Zoom資安漏洞疑慮不斷被報導,他們在3月30日請代理商摩百數位提出說明,但在疑慮未釐清前,該公司在4月6日正式對外宣布停售這項服務方案。詳全文
近期Zoom屢屢爆出資安疑慮,繼中華電信宣布停止原本的Zoom服務方案銷售後,行政院資通安全處4月7日正式對外說明,指出各機關若因業務需求召開視訊會議,不應使用具有資通安全疑慮的產品,例如Zoom。
在行政院發函各機關單位後,教育部也在同日發表後續處置說明,將通知各級學校全面禁用Zoom,同時把教育雲「線上教學便利包」中的Zoom相關使用說明全面移除。詳全文
許多人在家工作而需要使用視訊會議系統,但網路攝影機應用上的漏洞也備受關注,例如,有些惡意網站藉著瀏覽器漏洞,來存取裝置上的視訊鏡頭。AWS前員工Ryan Pickren於去年12月向蘋果通報了7個漏洞,影響iPhone與Mac電腦上的Safari瀏覽器,蘋果陸續於1月及3月修補上述漏洞。
其具體的攻擊手法,是藉由設立假冒的Zoom或Skype網站,受害者如果不慎使用Safari瀏覽器存取,駭客便能遠端開啟受害裝置的視訊鏡頭和麥克風。值得一提的是,原本漏洞懸賞計畫的獎勵上限是5萬美元,但因為是重大發現,蘋果特別發給Ryan Pickren共7.5萬美元,以茲鼓勵。詳全文
圖片來源:Ryan Pickren
在歐美擁有許多用戶的視訊聊天軟體Houseparty,在3月底,有數百名用戶在推特上指稱,他們的手機安裝這款聊天軟體之後,多個網路平臺的帳號就隨之遭駭,駭客取得包含了Netflix、eBay、Instagram、Snapchat,以及Spotify等帳號控制權,呼籲用戶要趕快刪除Houseparty帳號。
對此,開發者Life on Air強調他們沒有遭駭,這些推文是同行惡意重傷,並且打算對第一個提供線索的民眾,祭出100萬美元獎金。詳全文
圖片來源:Houseparty
繼2018年發生資料外洩事件後,全球最大飯店集團萬豪國際(Marriot International)再傳系統被駭客存取,約520萬名顧客個資可能外洩。
事件曝光的原因,是2月底該公司發現顧客管理系統出現異常,被人使用2名員工的帳密登入。經過調查,該公司相信事情首度發生於1月中。萬豪聲稱在發現非法存取行為當下,已經關閉上述員工帳戶,也報警並通知客戶。詳全文
內容傳遞網路(CDN)流量若是被誤導,將使得駭客能夠攔截,而能竊取重要資訊。例如,BGP流量監控業者BGPmon.net於美西時間4月1日晚上,偵測到BGP劫持事件,歷時約5分鐘,原應屬於臉書的CDN,其路由器網路前綴本為AS32934,竟異常地改為AS12389的自治系統(AS)宣告,而這個自治系統屬於俄羅斯電信公司。受影響的CDN前綴,預估超過8千個。
根據開源BGP資料分析框架BGPStream偵測,受影響的CDN,包括臉書、Google、Amazon、GoDaddy、Cloudflare、日本Line、NTT、香港ASline,以及其他小型CDN。詳全文
就在視訊軟體Zoom的安全及隱私問題在全球沸騰之際,Yahoo Finance與Mashable在本周報導,已有駭客在暗網中公布盜來的352個Zoom帳號,而且允許任何人下載。
Yahoo Finance及Mashable的消息來源都是Sixgill,Sixgill為以色列的B2B安全情報業者,專門監控與分析暗網中的威脅情報。
根據報導,駭客是在今年4月1日於暗網中的一個熱門論壇,張貼了含有352個Zoom帳號的名單,包括這些帳號的電子郵件位址、密碼、會議ID、主持人金鑰與名字,以及Zoom帳號的類型等。
其中多數為個人帳號,但有少數企業帳號,像是美國一家知名健康醫療機構、7家教育機構,以及一家小型企業等。
由於駭客是免費公布了名單,意謂著並非以營利為前提,但可能會讓更多人能夠亂入Zoom會議,或是利用這些資料展開身分竊盜。
美國聯邦調查局(FBI)在今年3月底便聲稱有人挾持了Zoom平臺,在上課或會議中亂入,密西根州則坦承該州已出現多起案例,這些亂入的傢伙在會議中發布色情照片、仇恨照片或是威脅言論,該州檢察官警告,這類的行為觸犯了許多聯邦或地方法令,將會被罰款與判刑。
2011年創立的Zoom在去年底的每天與會人數最高只有1千萬人,但在武漢肺炎疫情爆發後,今年3月該數字一舉突破了2億,且同時名列Google Play與App Store的免費程式下載排行榜冠軍,但其隱私、安全與遭到亂入等負面消息亦層出不窮。
目前美國已經有許多學校封鎖了Zoom,而臺灣的公務機關與學校單位也已禁用該平臺。
雲端原生基金會(CNCF)本周宣布,其技術監督委員會已經投票決議,將Argo專案納入孵化器中託管。Argo是一組Kubernetes原生工具,可用來執行和管理在Kubernetes上運作的應用程式與工作,Argo專案是由一間名為Applatix的企業,在2017年時創建,Applatix在2018年的時候被Intuit收購,之後BlackRock也加入貢獻Argo專案的行列,並且與Applatix共同積極發展專案以及經營社群。
BlackRock資料科學平臺負責人Michael Francis提到,由於事件工作流程在BlackRock資料平臺中,於資料驅動模型中扮演重要的角色,讓公司的投資者和用戶可以使用研究模型存取大量的財務資料,因此BlackRock大量使用了Argo Workflows,並且決定貢獻相依性管理工具Argo Events。
Argo包含了4個子專案,包括用於Kubernetes的容器原生工作流程引擎Argo Workflows,能夠用來平行調度Kubernetes工作;Kubernetes事件相依管理器Argo Events,則是事件驅動工作流程的自動化框架,可用來啟動Kubernetes專案或是無伺服器工作負載等;還有支援Kubernetes資源宣告式GitOps部署的Argo CD;同時Argo也有能夠控制發布策略的工具Argo Rollouts,可以支援宣告式漸進交付策略,像是金絲雀部署和藍綠部署等。
Argo提供用戶一種簡單的方法,讓用戶在Kubernetes上創建應用程式和工作時,可以整合服務、工作流程和基於事件三種運算模式,Argo可以用做Kubernetes控制器也可以作為客製化資源,與其他諸如Prometheus和gRPC等CNCF專案結合使用。
目前已經有超過100個企業組織,積極將Argo用於生產中,包括Adobe、Google、GitHub和Volvo等,在GitHub上,Argo的社群也已經茁壯發展,Argo專案有8,300顆星並擁有425位貢獻者,CNCF提到,在Argo專案加入CNCF之後,會專注在微服務交付和機器學習應用程式的發展。CNCF技術長Chris Aniszczyk表示,Argo團隊致力於簡化Kubernetes的使用,以及發展GitOps應用,與CNCF社群的發展目標相符。
