Fintech周報第75期：首家結盟夥伴！聯邦銀行擬投資Line Bank純網銀5％股權

11/03-11/09

 純網銀   Line Bank   聯邦銀行 
首家結盟夥伴！聯邦銀行擬投資Line Bank純網銀5％股權 
聯邦銀行於11月7日晚間公告，為了積極發展數位金融業務，擬參與Line所發起的純網銀Line Bank，並將共同投資與籌設純網銀。聯邦銀表示，預計投資Line Bank新臺幣5億元，占Line Bank股權5％，且將於Line Bank籌備處成立後，取得主管機關的核准，再依後續設立程序繳足股款。而聯邦銀也成為了Line在爭取純網銀的路上，首家公開宣布結盟的合作夥伴。

結盟組隊的趨勢逐漸白熱化，但也有人陣前跳槽，Line臺灣7月底才宣布在臺成立Line Financial，找來劉奕成籌備純網銀申請。不料，才短短三個月，負責人劉奕成即跳槽中華電信純網銀陣營。Line也正式對外宣布，劉奕成已離職，Line臺灣總經理陳立人暫代純網銀相關職務。而Line也在11月8日的活動中指出，Line Financial將繼續聚焦金融服務，也將努力取得純網銀執照，而目前籌備團隊的成員皆已定案，待各自完成內部流程後即對外公布。

 GraphQL   Linux基金會 
新一代資料庫查詢語言GraphQL成立開源基金會，交由Linux基金會管理 

臉書（Facebook）在2012年開發的資料庫查詢語言GraphQL，在2015年正式釋出，現已逐漸茁壯成形，並要作為REST和Ad-hoc網頁服務的替代技術。GraphQL解決了傳統REST API的許多局限，能讓企業的前端工程師，只要透過單一API即能查詢指令，直接取得資料庫裡的資料進行應用。除了臉書，也有不少大型網路服務公司使用GraphQL，包括Airbnb、Audi、GitHub、Netflix、紐約時報、推特等企業。

臉書認為，為了確保GraphQL的中立發展，要為GraphQL成立開源基金會。臉書也指出，GraphQL基金會將交由Linux基金會管理，以加速GraphQL廣泛採用以及周邊生態系統的開發。由於Linux基金會的技術社群是相互獨立的，GraphQL將繼續依照自有的規畫和時間表開發，Linux基金會透過提供基礎協助以及治理，來加速開源專案的開發，提供的協助包含法律、基礎架構以及支援開發人員的事件、行銷和社群等資源。

 洗錢防制法   虛擬通貨平臺  
三讀通過！虛擬通貨平臺及交易業務正式納入洗錢防制一環 

亞太防制洗錢組織（Asia／Pacific Group on Money Laundering，APG）從11月5日開始，預計到11月16日，要來臺展開第三輪相互評鑑。立法院也在評鑑前夕，也就是11月2日，火速三讀通過「洗錢防制法」與「資恐防制法」的部分條文修正案。其中，洗錢防制法第五條修正案，也正式三讀通過，將虛擬通貨平臺及交易業務，正式納入洗錢防制的一環。

法務部表示，立法院三讀通過修正案，大幅填補國內法律遵循方面的缺失，希望能在APG第三輪相互評鑑，證明臺灣具有優質的法遵文化與金流秩序，未來對國內的法制完備，以及產業在國際往來的交流，能有正向助益。此外，法務部也表示，虛擬通貨平臺和交易業務事業一併納入洗防法，不僅符合國際規範，更加完備我國洗錢防制體制。法務部也強調，法務部、金管會、司法院民事廳、內政部、財政部都已完成授權子法的草案，將在洗錢防制法、資恐防制法修正條文生效後，配合發布施行。

 HSBC   資料外洩  
匯豐銀行傳出網銀帳戶資料外洩事件 
跨國金融機構匯豐銀行（HSBC）坦承，在今年的10月4日到14日之間，有部份該銀行的線上帳戶遭到未經授權的使用者存取，可能外洩的資訊涵蓋用戶的全名、地址、電話號碼、電子郵件位址、生日、帳戶號碼、帳戶型態、帳戶餘額、交易紀錄、收款人帳戶資訊，以及銀行對帳單。匯豐銀行並未說明用戶帳戶外洩原由，僅表明在發現此事後，立即暫停了這些帳戶的線上存取能力，並開始通知受影響的用戶，同時採取行動強化該行個人網路銀行的認證流程，新增了額外的安全保護。 匯豐銀行在聲明中，並未揭露受到影響的用戶規模，但根據國外媒體報導，大約有不到1％的美國用戶受到影響。目前並不確定其它市場的用戶是否也受到波及。

 pay.taipei   跨域支付  
跨域合作，金門縣民明年初可在臺北市支付平臺繳納水費 

臺北市政府與金門縣政府於11月5日宣布跨域合作，透過市政繳費整合平臺的介接，要讓金門縣的居民，在明年第一季開始，可以在臺北市政府的支付平臺pay.taipei繳納水費。臺北市政府資訊處指出，透過繳費平臺介接，金門縣政府可簡化行政辦理程序、縮短行動支付導入建置期，並共享支付通路。

臺北市長柯文哲表示，臺灣目前的支付工具品牌很多，但卻無法在每個繳費通路使用，自從資訊局上線pay.taipei後，民眾只要透過手機下載App或在平臺網站，即可一次繳納多項公共費用，提高民眾繳費的便利性。而根據資訊局統計，pay.taipei自去年6月上線至今，已累積超過210萬筆繳費，並收繳達1億7千萬元，完成包括北市路邊停車費、自來水費、聯合醫院醫療費用、學雜費、地方稅、交通罰鍰及道路集會申請保証金、地政規費等項，今年底前也將推出商業規費、線上申辦費用、路外停車費無卡進出停車場等多項規費繳納服務。

 供應鏈攻擊   加密貨幣交易平臺 
駭客以StatCounter為跳板，入侵加密貨幣交易中心Gate.io 
資安業者ESET，揭露一起罕見的供應鏈攻擊事件，駭客先是入侵了熱門的網路分析平臺StatCounter，於StatCounter上植入惡意的JavaScript，藉以攻擊利用StatCounter分析流量的網站，首個受害者為加密貨幣交易平臺gate.io。ESET惡意程式研究人員Matthieu Faou表示，駭客為了攻擊特定的加密貨幣交易平臺，入侵了StatCounter，代表就算網站都會定期更新且受到良好的保護，還是可能因為最脆弱的環節而受損，在此一案例中為外部的資源，也再度顯示出這些由第三方控制的外部JavaScript程式，在任何時候都可能因為不察而被變更。

 Apple   iOS 
蘋果釋出可支援雙SIM卡的iOS 12.1 
蘋果（Apple）於10月30日舉辦今年第二次的發表會，且釋出iOS 12.1。蘋果才在上個月釋出iOS 12.0，新出爐的iOS 12.1只新增了幾項特定功能，包括FaceTime的群組視訊功能、啟用特定機種的雙SIM卡功能，以及相機的深度控制等。其中，FaceTime的群組視訊最多可支援32人，也整合了iMessage，可直接從iMessage群組中執行FaceTime的群組視訊。

至於雙SIM卡功能，則僅支援今年才問世的 iPhone XS、iPhone XS Max及iPhone XR。雙SIM卡雖然在其它手機上已行之有年，在iPhone上卻是頭一遭，蘋果建議雙SIM卡可用來區隔工作及私人電話、在旅行時用來安裝當地的SIM卡，或者是區分語音與數據傳輸的使用。iOS 12.1還允許用戶於拍照的前後調整景深，而且此一深度控制功能不只支援肖像模式，還支援iPhone前方的TrueDepth鏡頭。

 資安漏洞   Apache Struts 
特定Apache Struts 2版本含有陳年漏洞，曝遠端執行程式攻擊風險 
Apache軟體基金會（Apache Software Foundation）於11月5日警告，特定版本的Struts 2採用了含有遠端程式攻擊漏洞的Commons FileUpload函式庫，呼籲用戶儘快更新。根據漏洞的說明資訊，Commons FileUpload中有個Java物件在被反序列化時可寫入或複製檔案到任何磁碟，雖然該物件可單獨使用，但也能在呼叫反序列化時整合ysoserial以上傳及執行二進位文件。 美國系統網路安全研究院（SANS Institute）指出，目前並沒有簡單的新版Struts可以修補此一漏洞，開發人員必須手動置換Commons FileUpload版本，只要下載Commons FileUpload 1.3.3並將它拖曳至WEB-INF/lib中，它就能取代舊版，若是基於Maven的專案，還得更新其相依性。由於Struts並非唯一使用Commons FileUpload函式庫的專案，因此SANS也建議開發人員最好檢查所有的系統。至於Apache軟體基金會在9月釋出的Struts 2.5.18則已經採用了安全的Commons FileUpload 1.3.3，而不受該漏洞的影響。

圖片來源：GraphQL Foundation、法務部、臺北市政府資訊局、

責任編輯／李靜宜
 金融科技近期新聞 
1.  蘋果iTunes Store下架談論加密貨幣的Podcast
2.  西班牙BBVA銀行計畫在以太坊區塊鏈，記錄1.5億美元的聯合貸款