百富環球科技有限公司(「本公司」,連同其附屬公司統稱「本集團」)謹此提述,於二零二一年十月二十七日,其股份(「股份」)價格自香港聯合交易所有限公司(「聯交所」)上午交易時段開始起大幅下跌。本公司已申請自二零二一年十月二十七日上午十時五十六分起短暫停牌,以待刊發本公佈。
本公司經作出在當時情況下有關本公司之合理查詢後,確認並不知悉價格下跌的任何原因(除可能為下文披露的事項外)、為避免本公司證券出現虛假市場所須公佈的任何資料或根據證券及期貨條例第 XIVA 部須予披露的任何內幕消息。
針對 PAX US 的搜查令
於二零二一年十月二十六日(美國(「美國」)東部標準時間),美國聯邦調查局 (FBI) 及海關及邊境保護局的官員對本公司全資附屬公司 Pax Technology, Inc.(「Pax US」)的佛羅里達辦事處及倉庫執行法院授權的搜查,取走若干物品,並與若干 Pax US 的僱員進行面談。本集團並不知悉亦無發現有關當局就關於搜查及面談相關的主題事項或目的所發佈的聲明。本公司董事會(「董事會」)並不知悉任何就該事件對本集團提出的相關指控。
Pax US 已恢復正常運營。儘管圍繞該搜查及下文所述媒體文章的報導已引來本集團 業務合作夥伴等的關注及詢問,惟本集團並無發現經營及╱或業務的任何重大不利變動。根據目前已知的事實和情況,本公司預計這不會對本集團產生任何重大財務影響。本集團將繼續專注於向其客戶提供產品及服務,並在業務營運中秉持最高的產品標準。
媒體報導
於本公佈發佈前,董事會亦注意到兩篇文章,一篇日期為二零二一年十月二十六日於「KrebsOnSecurity.com」的博客(似乎位於美國)上刊發標題為「FBI Raids Chinese Point-of-Sale Giant Pax Technology」的文章(「KrebsOnSecurity文章」),和另一篇日期為二零二一年十月二十八日於彭博社上刊發標題為「FIS’s Worldpay Replaces PAX Terminals Over Security Concerns」的文章(「彭博社文章」)及與該等文章有關的若干其他媒體報導。
本公司就 KrebsOnSecurity 文章及彭博社文章所載的若干陳述進行下列澄清以供潛在投資者及本公司股東(「股東」)參考。
1. KrebsOnSecurity文章指出:—
「KrebsOnSecurity了解到,此次突襲與百富的系統可能涉及對美國及歐盟組織的網絡攻擊的報告有關。」#
「根據該消息來源,支付處理商發現百富終端既被用作惡意軟件「投放器」(惡意文件的存儲庫),也被用作進行攻擊和收集信息的「命令和控制」位置。」#
「我的消息來源說,有技術證明終端用於攻擊行動的使用方式。」消息人士說。」#
本公司注意到 KrebsOnSecurity 文章沒有提供任何有關「報告」的詳情。它只引用 了一名作者「消息來源」的二手傳聞引述,而該引述則引用了其他匿名消息來源,其中表示「有技術證明終端用於攻擊行動的使用方式」。KrebsOnSecurity 文章還接著說,具體細節不詳。
本集團的產品及服務須遵守並經認證符合支付卡行業 (PCI) 合規標準及全球多個國家所有相關法律及強制性法規。因此,其就若干網絡安全的設計達到必要行業標準(包括與惡意軟件相關的網絡安全)。相類於其他知名業內同儕,本集團一直並將繼續積極主動地全面並透過與客戶及外部第三方測試實驗室合作,進行產品認證、軟件滲透測試及其他嚴格安全相關控制措施,並在適當情況下,及時採取必要的修復及緩解措施,以提升產品安全標準。
據董事會根據適當查詢了解到,截至本公佈日期,世界各地均未發生任何針對百富產品及服務的網絡攻擊事件或網絡攻擊投訴的報告,包括任何違反安全協定的行為。
2. KrebsOnSecurity 文章及彭博社文章分別指出:—
「……KrebsOnSecurity 從可信來源獲悉,於美國一家主要支付處理商開始詢問來自該公司支付終端的異常網絡數據包的問題後,FBI 開始調查百富。」#
「美國一家主要支付處理商開始詢問有關來自百富終端的網絡數據包的問題, 而並無得到任何滿意答覆。」#
「消息人士稱,分別位於美國及英國的兩家主要金融提供商已開始將百富終端從他們的支付基礎設施中移除……」#
「……消息人士稱,「數據包大小與應當發送的支付數據不匹配,並且倘有關設備正在更新軟件,亦與這些設備可能顯示的遙測數據不相關。」#
「在一份聲明中,公司確認其不再部署百富的銷售點設備,因為其並無收到百富就其銷售點設備連接至未在他們提供的文件中列出的網站作出的滿意答覆」#
本公司指出,KrebsOnSecurity 文章沒有識別誰為「美國主要支付處理商」或「兩家主要金融提供商」,但根據於二零二一年十月二十七日彭博社文章刊發的更新文章中確實有提及「FIS Worldpay」。
位於美國的金融產品及服務提供商 Fidelity National Information Service, Inc. (「FIS」)及其位於英國(「英國」)的聯屬公司 Worldpay, Inc.(「Worldpay」)已於二零二一年十月初停止在美國及英國安裝百富終端。本公司估計截至二零二零年十二月三十一日止年度歸屬於 FIS 及 Worldpay 的收入以及由分銷商向 FIS 及 Worldpay 銷售本集團產品的收入約為 14 百萬港元,佔本集團該年度總收入約 0.25%。按此基準,FIS 及 Worldpay不再購買百富終端不會對本集團產生任何重大不利影響。
本集團在日常運營過程中一直認真解決及回覆來自 FIS 及 Worldpay 的例行性網 絡安全相關調查問卷。本集團認為其已妥善回覆 FIS 及 Worldpay 關於百富支付終端的查詢,包括可以影響數據傳輸量的功能(或可能已被視為「異常網絡數據包」)。百富亦已向 FIS 及 Worldpay 提供支付終端中於安卓操作系統上所有由百富提供的應用程式服務器位置的信息。本集團銷售點設備(採用安卓操作系統)僅與其提供的文件所列的應用程式供應商服務器(而非網站)連接。倘若服務器使用「動態互聯網協議(IP)地址」(其他知名業內同儕及科技巨頭為了提供更好的 用戶體驗亦有使用),此將令本集團幾乎無法列出該服務器採用的每個及所有 IP 地址。
經百富終端傳輸的數據(以「數據包」或「網絡數據包」為數據格式),通常不僅包括支付數據,亦包括有關安裝在支付終端上的應用程式(例如地理定位、忠誠度計劃及╱或線上訂購)的其他數據,以及有關支付終端的中央處理器 (CPU) 的數據及記憶使用量並包括含有有關功能的軟件更新的「數據包」或「網絡數據包」的 「遙測數據」。因此,根據消費者業務(即本集團支付終端通常部署的地方)的運營方式以及應用程式與主機的通信配置,「數據包」或「網絡數據包」的大小將會與基本支付數據所涉及的數據有所不同或較大。
恢復買賣
應本公司要求,本公司的股份已於二零二一年十月二十七日上午十時五十六分起短暫停牌。本公司已向聯交所申請本公司股份恢復買賣,自二零二一年十一月一日上午九時正起生效。
股東及本公司潛在投資者於買賣本公司證券時,務請審慎行事。本公司將於適當時候就本公佈所披露的事項作出進一步公佈。
承董事會命
百富環球科技有限公司
公司秘書
張仕揚
香港,二零二一年十月二十九日
於本公佈日期,董事會成員包括三名執行董事,分別為聶國明先生、蘆杰先生及李文晉先生;以及三名獨立非執行董事葉偉明先生、吳敏博士及文國權先生。
# 陳述的原文為英文。中文釋本僅供參考。
