安大略省米爾頓的比爾和桑德拉·巴洛夫婦(Bill and Sandra Barlow)表示,加拿大航空公司(Air Canada)未能保護他們的機票賬戶,在他們的返程航班神秘被取消後,不僅未協助解決問題,反而將責任歸咎於他們。而更離奇的是,他們用於購買東京商務艙機票的信用額度,竟被用於替一位素未謀面的人訂票。
這對夫婦為慶祝比爾的75歲生日,花了一年多時間籌劃這次中南美之旅。他們預訂了商務艙往返機票,當中使用了旅行積分和現金,總共超過5000加元。
然而在11月17日,也就是預定返程起飛前兩天,他們致電加航確認航班時,竟被告知:機票已經被取消。
“完全震驚,”桑德拉在接受CBC《Go Public》節目採訪時表示,“這種事情怎麼可能發生?”
更令人費解的是,他們說,加航隨後告訴他們,這起盜用事件是他們自己的錯,並聲稱他們的郵箱被黑了,而且他們沒有保護好自己的“Air Canada Wallet”(加航錢包),而他們甚至根本不知道自己擁有這個功能。
這個“加航錢包”中的旅行信用額度被用於為一個陌生人預訂東京航班。而這位女子後來告訴《Go Public》,在加航調查過程中,從未有人聯絡過她。
“這太荒唐了,”比爾說。
加航是在2023年6月低調推出這個“數字錢包”的。據其官網稱,這是一個為Aeroplan會員安全儲存旅行積分與退款的平臺,但巴洛夫婦表示,他們從未被告知有此功能,也從未開通或使用過。
網路安全專家克勞迪烏·波帕(Claudiu Popa)表示,這一事件說明加航系統中可能存在漏洞。他質疑:既然信用額度是從加航系統中被盜的,為何要責怪使用者?
“這聽起來像是一次有預謀、組織嚴密的攻擊,”波帕說。“如果我是加航,我會非常擔憂。問題是——還有多少其他客戶也可能正處於風險之中?”
巴洛夫婦表示,他們的挫敗感更深了,因為加航既不告訴他們調查採取了哪些措施,也不給出他們為何被歸咎為責任方的解釋。
“我們問他們到底發現了什麼,”桑德拉說,“但完全被敷衍過去。”
而加航卻告訴《Go Public》,夫婦的個人郵箱被黑,駭客透過“忘記密碼”功能進入他們的Aeroplan賬戶,盜取了旅行積分,並攔截了加航傳送給他們的郵件。
加航在一封郵件中寫道:“任何機構都無法也不應被期望對所有客戶的個人郵箱安全承擔責任。我們的使用條款中對此限制已有明確說明。”
但專家波帕指出,這種說法站不住腳。現在並無確鑿證據表明他們的郵箱被入侵,而信用分最終是從加航自身系統中被盜。
“聽起來加航像是能看到客戶的郵箱內容,”波帕說,“但加航並沒有訪問客戶郵箱的許可權,自然也無法斷言郵箱被黑。”
《Go Public》要求加航提供證據,證明巴洛夫婦的郵箱被黑,但加航拒絕回應,僅表示出於“維護反欺詐程式完整性”,不討論相關流程。
“我不明白他們怎麼會知道或證明,我的郵箱被別人使用了,”比爾說。
巴洛夫婦說,他們第一次致電加航求助時,被告知信用額度被用於訂了一張飛往東京的機票,票面名字是一個陌生人。
《Go Public》追蹤找到了這位旅客,她人在拉斯維加斯。
這名女子確認自己搭乘了飛往東京的加航航班,並稱是通過當地旅行社用自己的信用卡支付約5000加元購票的,但她拒絕提供付款憑證或旅行社名稱。
她還說,加航從未聯絡過她瞭解為何她的名字出現在一張用被盜積分購買的機票上。
她在郵件中寫道:“我不關心到底發生了什麼,我付了錢,事情也已經快過去一年了。”
巴洛夫婦指出,加航對他們投訴的回應花了兩個月之久,但最終調查結果卻漏洞百出。
“太令人失望了,”比爾說,“花了那麼久時間,結果調查卻如此粗糙。”
除此之外,加航還未回答《CBC》提出的幾個關鍵問題,包括:有多少客戶曾舉報加航錢包被盜?系統是否經過過安全漏洞測試?為何在重設密碼時不要求更嚴格的身份驗證?什麼只通過郵件傳送重要通知(如取消機票或錢包被使用),明知存在郵箱安全風險?
波帕表示:“我不會信任加航錢包的安全性,”並指出加航拒絕說明系統是否經過安全測試令人擔憂。
他還提到,加航歷史上也曾出現數據洩露事件。2018年加航App洩露2萬名客戶資料;2023年又有駭客入侵員工資訊系統。
儘管如此,加航仍堅稱這起事件與公司系統無關。
波帕並不買賬:“我還沒有看到任何安全測試的證據,也沒有看到符合資料保護標準的實質性說明。”
最終,他們被迫自掏腰包購買了回程機票。由於僅剩兩天,最後他們花了近2800加元買了經濟艙座位,遠低於他們原本預訂的商務艙。比爾說,若臨時再訂商務艙,價格可能會接近9000加元。
資訊來源:https://www.cbc.ca/news/gopublic/air-canada-credit-stolen-1.7524525
+++
+++
重要通知!!
超級生活啟用新公眾號!
你可能還沒關注!
點下方進新號關注,不錯過加拿大任何新鮮事~