身份盗窃：更多炒作而非危害 - 彭博社

这些头条足以让你发誓不再使用eBay（EBAY ）并将你的钱包锁在保险箱里。像LexisNexis、时代华纳（TWX ）、ChoicePoint（CPS ）和富国银行（WFC ）这样的所谓可信公司承认，他们的客户或员工的记录已落入不法之手。在一个案例中，窃贼闯入美国国际集团（AIG ）位于中西部的办公室，盗走了一台包含93万名寻求医疗保险的员工个人数据的计算机服务器。而在身份盗窃的重大事件中，一台包含近2900万名现役和前军人社会安全号码及其他敏感信息的笔记本电脑在马里兰州郊区一名退伍军人事务部工作人员的家中被盗。

总的来说，多达8800万美国人——超过四分之一——在过去18个月中暴露了数字数据。随着每一份报告，无助感愈发加重。正如74岁的美国海军退伍军人、潜在的VA事件受害者乔治·安德森所说：“又来了。”

但是，尽管关于身份盗窃的戏剧性报道频频出现，但很少有人指出这通常不会给消费者带来实际的经济损失。有理由相信，实际损失可能仅略高于每年480亿美元的估计值的十分之一。事实上，在普通人因安全漏洞而感到恐慌的同时，业内专家对其影响的担忧却在减弱。执法官员们原本预计在所有这些广为宣传的事件后会出现一波金融欺诈，但他们承认，犯罪分子的后续行动却出乎意料地少。“我们看到的并不显著，”负责FBI互联网犯罪投诉中心的丹尼尔·拉金说。“考虑到其高曝光率，我们本以为会看到更多。”

媒体狂热

怎么回事？首先，将被盗数据转化为美元并不是那么简单。围绕每次安全漏洞的媒体狂热帮助让消费者和商家保持警惕；一旦被通知，许多受害者会迅速与他们的银行或信用卡公司联系。此外，一些来自企业和政府计算机系统的被盗数据是加密的、受密码保护的，或者至少需要特定软件才能打开。它们并不容易获取。看起来VA记录就是这种情况，官员们指出这些记录以数据库格式存在，难以读取。

当然，任何时候你将个人信息泄露给陌生人都感觉很严重，无论这些信息如何被使用。你不需要告诉那些花了一整天取消信用卡或更换驾驶执照的人。而对于企业来说，犯罪分子和破坏者轻易地侵入他们的计算机系统是非常令人担忧的。最近接受德勤·托马斯·霍普金斯调查的公司中，有超过四分之三表示他们遭受过外部安全漏洞，这一比例相比2005年调查时的26%大幅上升。但即使对于公司来说，找到黑客攻击导致重大财务损失的具体例子也很困难。“信息盗窃失控，但利用这些信息进行欺诈并没有失控，”位于康涅狄格州斯坦福德的研究机构Gartner（IT ）Inc.的高级分析师Avivah Litan说。

银行承受重压

事实是，在绝大多数涉及消费者的案件中，犯罪分子没有足够的数据来实施犯罪。考虑一下去年底由ID Analytics Inc.进行的一项研究的发现，该公司位于圣地亚哥，为包括全国10大银行中的六家在内的众多客户提供欺诈检测服务。ID Analytics分析了四起高调的安全漏洞，这些漏洞暴露了500,000名消费者的记录。（它拒绝透露涉及的公司，只表示包括两家零售商和一家银行。）使用技术检查了数百万笔交易的可疑活动，这种技术可以发现异常情况，例如一个社会安全号码被多个个人使用。ID Analytics得出的结论是，在它研究的四起漏洞中，受害者个人数据被滥用的最高比例仅为0.09%，大约每1,020人中就有1人。ID Analytics的联合创始人迈克·库克指出，这一比例远低于最新的Javelin Strategy & Research调查中表示曾成为金融欺诈或身份盗窃受害者的4%的美国人。

如果有人会受到影响，你会认为是银行。由于其“零责任”政策，银行承担了大多数身份盗窃损失，赔偿信用卡和借记卡持有者。然而，过去10年中，卡片欺诈不仅没有上升，反而在下降。Visa USA Inc.的处理和新兴产品高级副总裁让·布鲁斯维茨指出，从相对角度来看，欺诈损失急剧下降，从1991年每100美元信用卡消费损失19美分降至今年第一季度每100美元消费仅损失7美分。布鲁斯维茨估计，在安全漏洞中暴露的所有信用卡和借记账户中，未经授权的消费不超过2%。

一种解释是，银行已经实施了复杂的筛选系统，现在可以实时监控购买和新账户申请。Visa开发了算法，根据多种标准为其成员银行提供每笔交易是欺诈的几率评级，包括该账户是否在最近的安全漏洞中受到影响，Bruesewitz指出。类似地，MasterCard（MA）国际现在采用技术，使其成员银行能够及时发现可疑的消费模式，以拒绝这些交易。

利用这种复杂的技术，MasterCard可以将一个银行的卡上的购买与其他交易进行比较，以发现更广泛的犯罪行为模式：MasterCard全球公共政策负责人Joshua L. Peirez指出，一些小偷建立虚假的零售商账户，然后通过收取少量费用来试用信用卡号码，之后再进行更大额的购买。“我们现在几乎可以立即发现这些类型的交易，”Peirez说。

因此，一些安全专家质疑身份盗窃和金融欺诈的实际损失是否接近许多媒体报道中引用的2003年联邦贸易委员会基于对大约4000人的电话访谈得出的480亿美元的损失。为了得到这个数字，FTC简单地统计了过去一年中声称遭受损失的个人数量，将其乘以他们所说的平均损失，并对美国人口进行推算。印第安纳大学应用网络安全研究中心的法律教授兼主任Fred H. Cate指出，如果这个估计是准确的，它将抹去银行业2005年1030亿美元利润的多达一半。“如果这些数字是真的，我们将面临银行危机，”他说。

根据2004年下半年对40,000个家庭进行的一项研究，消费者表示在过去六个月中损失的身份盗窃和相关欺诈的更现实数字可能是32亿美元，该研究于今年四月由司法统计局发布。其他大多数关于卡片欺诈的研究，包括《尼尔森报告》的年度调查，估计银行业的年度损失约为11亿美元——与480亿美元相去甚远。

关于身份盗窃恐慌，最令人毛骨悚然的事情或许是，数据很可能不是被某个在爱沙尼亚的神秘黑客盗取的，而是来自你身边的人。在2003年FTC的研究中，四分之一的受访者表示他们知道是谁实施了金融欺诈，而在这些情况下的一半，犯罪者竟然是朋友、亲戚或邻居。

作者：迪恩·福斯特，索尼娅·瑞斯特在纽约