統振股份有限公司(櫃通訊網路;股票代號:6170)創立於1977年,並於2002年掛牌上櫃,隸屬「櫃買通訊網路類股」。其主要業務包括:
• 行動電話預付卡與網路遊戲儲值卡銷售
• 電信小額付費與外籍移工匯款服務
• 子公司經營電信器材、食品、化妝品與旅遊票務等多元業務
統振深耕通訊與支付領域,尤其在移工市場具高度滲透率,業務上已深度涉入金融沙盒領域,特別是移工匯款、小額支付、電信加值金流等服務,屬於「通訊服務+金融科技」混合型企業,資訊系統涵蓋交易、身份驗證、金流處理與客戶資料管理,資安韌性直接關係到服務穩定性與信任維護。
(1) 統振於114/08/22在公開資訊觀測站所發佈之重訊:
(2) 引用2025/08/22 LTN財富自由新聞網報導:https://stock.ltn.com.tw/article/2gsyfetkq25f
根據財富自由新聞網的報導,駭客組織「麒麟」(Qilin)近日在暗網上宣布,台灣移工匯兌公司統振成為其攻擊目標,並聲稱已竊取該公司超過70萬客戶的資料,包含姓名、電話、生日、密碼、居留證號,甚至連自拍照也淪為駭客的籌碼,並附上相關圖片證明。
內容也引述某資安專家分析指出,台灣金融服務業與中小型外包業者,往往面臨資安預算有限、防護不足的現實,但同時掌握大量高價值的客戶資料。對國際駭客而言,這正是一個「低成本、高收益」的理想目標,而此次受害的移工匯兌公司,正好踩中這個資安弱點。
因此即使對統振營運沒有影響,然而若涉及外籍移工的個人資料外洩,其潛在風險已超越企業層級,可能引發國家安全層面的危機
。
(1) 由於統振的業務性質較複雜,因此,我們就來看一下統振2024年永續報告書上,重大主題館裡目標與績效的部分:
從上面幾個重要議題來看,統振其實也很了解本身業務的複雜性,加上其行業是屬於金融沙盒監管事業,因此各項議題其實都是有相關聯的。
統振公司的業務是有關於金融監理沙盒性質的公司,我們先解釋一下何謂金融監理沙盒:
以下引用維基百科上的說明:(相關連結https://zh.wikipedia.org/zh-tw/%E9%87%91%E8%9E%8D%E7%9B%A3%E7%90%86%E6%B2%99%E7%9B%92 )
金融監理沙盒之構想源於讓孩子於一個安全的沙池中玩耍、發揮創意之概念。係指於風險規模得以辨識可控之模擬環境下,讓業者盡情測試其創新產品或服務乃至於商業模式,並與監理者進行高度互動、密切協作,共同解決實驗過程中所發現或產生之監理與法制面議題。亦即,透過金融監理沙盒機制之設計,可將創新金融科技對於法律、市場、競爭樣態、消費者保護等議題,設計於得受到控制並改正之監理範圍內,以進行實驗之方式,解決創新金融商品或服務所帶來之法制與市場衝擊。
統振公司的業務因為有其特殊性,且因為有牽涉到境外金融與匯兌的問題,所以該公司外籍移工的個資等於公司極機密的商業祕密,同時,這些外籍移工的的個資,不僅包含身份資訊、聯絡方式與匯款紀錄,更可能牽涉跨境金流、通訊行為與社群網絡,一旦遭惡意利用,可能成為境外勢力滲透、詐騙或操控的管道。
我們從統振的永續報告書所揭露的公司重大主題與目標,整理出統振公司資安韌性的幾項重點:
• 涉及跨境匯款與電信小額支付,需確保交易資料不被竄改、重播或偽造。
• 建議導入 端對端加密、交易簽章驗證、行為異常偵測模型。
• 金流系統應具備 即時監控與風險分級機制,防止洗錢或詐欺行為。
• 金融沙盒架構常仰賴 API 串接第三方服務(如電信商、支付平台、匯款機構)。
• 必須強化 API存取控管、速率限制、OAuth2.0/Token驗證機制。
• 建議建立 API風險評估流程,並納入資安稽核範疇。
• 移工族群常使用簡化登入流程,若驗證機制過於鬆散,易成攻擊目標。
• 應導入 多因子驗證(MFA)、生物辨識或行為驗證,提升帳號安全性。
• 建議設計 動態風險評估登入機制,根據地理位置、設備指紋等判斷風險。
• 金融沙盒服務多為即時性,系統中斷將直接影響用戶交易與信任。
• 建議建立 高可用性架構(HA)、異地備援機制、自動故障轉移設計。
• 官網與APP應具備 資訊不中斷通報模組,即使主系統異常仍能維持基本揭露。
• 涉及金流與個資,需符合《個資法》、《洗錢防制法》、《金融資安指引》等規範。
• 建議建立 資安事件揭露SOP,並納入年報或永續報告揭露架構。
• 若參與金融沙盒試驗,應主動揭露資安設計與風險控管機制,強化社會信任。
綜上,在台灣移工人口已突破70萬人、且多仰賴數位平台進行匯款與通訊的情境下,統振這類企業所掌握的資料已具備「準公共基礎設施」的性質。若資安防護不足,不僅可能造成移工個人財務與人身風險,更可能影響國內勞動穩定、社會信任與跨境治理。
因此,建議主管機關應將此類「通訊+金融科技」混合型企業納入高風險資安監管範疇,並要求:
• 建立移工個資保護專章與風險揭露機制;
• 導入零信任架構與行為分析模型,強化異常偵測;
• 將資安事件納入重大訊息通報與永續報告揭露;
• 強化與政府資安平台之通報協作。
以上給大家做參考!