楼主:
leptoneta (台湾高山族自治区书记)
2025-02-12 13:29:45【独家】中资绕道来台承接信用卡核心系统 数百万用户个资隐私恐大开后门
https://www.upmedia.mg/news_info.php?Type=1&SerialNo=223597
中国生成式AI“DeepSeek”(深度求索)横空出世窜红,却也因涉资安疑虑,遭美澳韩等
多国政府下达禁令,台湾方面同样高度警戒,行政院日前大动作宣布公务机关全面禁用
DeepSeek AI服务,以确保国家资通安全。不过,《上报》近日接获爆料投诉,直指近期
竟有中国政府背景的中资企业,透过第三地绕道来台承接国泰世华银行的信用卡核心资讯
系统升级专案,担忧此举恐让数百万用户的隐私等敏感性个资,暴露在大开后门的外泄危
机风险中。
在美中竞争的国际政治局势下,加剧两岸对峙关系。面对中国频发动资讯战、统战渗透等
手段,民进党政府如临大敌,举凡数位身分证、个人电脑、无人机等有危害国家资安的中
国资通讯产品及厂牌,包括软硬件及服务,均严格管制,尤其涉及高度敏感性的金融产业
是否也有“关紧水龙头”,发生类似先前淘宝等中资绕道第三地来台的监理漏洞,更是受
到放大镜检视。
新加坡商来台招揽 与国泰世华合作
针对近年来兴起的金融科技(FinTech)议题,《上报》日前接获来自资讯业界知情人士
爆料投诉,点名在台设立分公司的新加坡商认和科技(AnyTech)自去年初开始,积极游
说国内外各大信用卡发卡商,包括中信、富邦、上海商银及国泰世华等,争取导入其开发
的“信用卡核心系统”,并以在中国的上线银行案例来游说其拥有许多上线实绩,但这些
案例不仅皆来自于另一家设立在中国北京的江融信科技公司,认和科技实则更是江融信的
海外子公司,其所推的产品也是江融信的产品“ANYTXN”(信用卡及信贷核心管理系统)
。
不仅如此,爆料者透露,去年9月间,新加坡商认和科技的台湾分公司,与国泰世华银行
资讯部门正式成立信用卡核心系统“升级专案小组”,而该信用卡核心现代化专案启动会
议当天的团体合照,更赫见专程来台湾参与会议的江融信公司董事长花建和,被排在正中
间“C位”,花的左手边即是江融信所属新加坡认和科技的创办人刘丹彤、右侧则为国泰
世华银行资深副总经理王志峰,照片拍摄地点就在国泰世华银行。
新加坡商背靠中资企业 惊见中国财政部控股
爆料者并提供事证,指除了从上述合照足见江融信与认和科技的关系外,若进一步逐层追
溯江融信幕后“金主”,可以发现江融信不仅是一家中资企业,其与中国财政部更有密切
关联。首先,从北京江融信股权结构中可看到“深圳国中中小企业发展私募股权投资基金
合伙企业”,持股10.18%投资江融信、出资金额为人民币336.7万元。
上述该家深圳国有控股公司,背后则有“国家中小企业发展基金有限公司”持2成5股权;
而“国家中小企业发展基金有限公司”实则为中国财政部实际控制、持股比例逾4成2的国
家级股权投资基金。
爆料者另举证,根据江融信公司官网先前曾发布的新闻稿《江融信海外市场新突破,新一
代信用卡核心系统新加坡顺利投产》一文(现已删文下架)中曾披露:“2021年,江融信
海外子公司--新加坡认和科技(Any Technology Private Limited)与新加坡某金融客
户签订合作协议,
系统若遭埋后门程式 国家资安与民众个资不保
对此,有业界人士表示,信用卡核心资讯系统主要包含“发卡”及“收单”2大项目,其
中各自有前端的授权与后端的帐务模组。若让具中资色彩的公司有机会介入台湾发卡银行
的“信用卡核心系统”更新、营运,由于信用卡系统包含消费者机敏资讯及交易资讯,开
发过程若埋藏恶意程式或后门程式,将严重影响资安;虽然不管是哪一家厂商都有可能发
生,但以现在两岸关系而言,使用中资厂商有更高机率发生计画性或策略性的资安事件。
该人士指出,认和科技在台湾开发员工极少,大多仰赖江融信的员工做系统开发,光是这
一点就隐藏极大资安风险。国内银行一旦使用智财权不明或建置期间系统建置被埋入后门
程式,将来若有黑客趁机摸羊,肯定会发生重大资安事故与钜额损失,因为信用卡系统包
含了信用卡客户所有机敏资讯,包括:卡号、到期日期、客户姓名、住址、生日等,若资
讯被泄漏,便可能发生未授权交易(盗刷)、身分被盗用,或不肖人士拿这些资讯进一步
做诈骗等。
即便国内银行业者要求中国软件厂商交付“原始码软件”,以此自我保证资讯安全,但业
界人士强调,若交付原始码的厂商内控稽核不佳,或致使第三方取得原始码,将使得受交
付方增加遭受“零日攻击”的机率。交付原始码对资安的保障,仅在受交付方具备检核原
始码的技术与能量,原始码的交付才具备资安管控意义,因此交付原始码并无法代表资讯
安全。
中资绕道金管会难查证 国泰世华声明厂商非陆资公司
针对认和科技是否为中资或有资安疑虑,金管会则向《上报》表示,国泰世华银行今天上
午有向金管会说明,该行已经就信用卡系统供应商认和科技进行调查、评估,确认并没有
中资持股,该公司也未被列入经济部投审司所公告的陆资资讯清册中,而在合约存续期间
也有保留条款,即如果证明认和科技有中资,该行将有权行使合约终止。
对此,国泰世华声明表示,签约过程均符合主管机关相关规范,且该签约厂商并非经济部
投资审议司网页公告陆资投资资讯产业事业清册所列载之厂商。
国泰世华强调一向重视客户资料安全,本案规划于系统上线前会内部执行安全检测作业,
并委请第三方专业资安机构严格检查该系统之资讯安全,以确切落实本行保障维护客户资
料安全的系统升级政策。
国泰世华打算让新加坡AnyTech负责信用卡系统升级
AnyTech是用中国公司的产品“ANYTXN”(信用卡及信贷核心管理系统)
这个中国公司大股东之一 是由中国财政部主导的投资基金
是否会造成资安漏洞 还是商业黑函 让我们继续看下去