安大略省米尔顿的比尔和桑德拉·巴洛夫妇（Bill and Sandra Barlow）表示，加拿大航空公司（Air Canada）未能保护他们的机票账户，在他们的返程航班神秘被取消后，不仅未协助解决问题，反而将责任归咎于他们。而更离奇的是，他们用于购买东京商务舱机票的信用额度，竟被用于替一位素未谋面的人订票。

这对夫妇为庆祝比尔的75岁生日，花了一年多时间筹划这次中南美之旅。他们预订了商务舱往返机票，当中使用了旅行积分和现金，总共超过5000加元。

然而在11月17日，也就是预定返程起飞前两天，他们致电加航确认航班时，竟被告知：机票已经被取消。

“完全震惊，”桑德拉在接受CBC《Go Public》节目采访时表示，“这种事情怎么可能发生？”

更令人费解的是，他们说，加航随后告诉他们，这起盗用事件是他们自己的错，并声称他们的邮箱被黑了，而且他们没有保护好自己的“Air Canada Wallet”（加航钱包），而他们甚至根本不知道自己拥有这个功能。

这个“加航钱包”中的旅行信用额度被用于为一个陌生人预订东京航班。而这位女子后来告诉《Go Public》，在加航调查过程中，从未有人联系过她。

“这太荒唐了，”比尔说。

加航是在2023年6月低调推出这个“数字钱包”的。据其官网称，这是一个为Aeroplan会员安全保存旅行积分与退款的平台，但巴洛夫妇表示，他们从未被告知有此功能，也从未开通或使用过。

网络安全专家克劳迪乌·波帕（Claudiu Popa）表示，这一事件说明加航系统中可能存在漏洞。他质疑：既然信用额度是从加航系统中被盗的，为何要责怪用户？

“这听起来像是一次有预谋、组织严密的攻击，”波帕说。“如果我是加航，我会非常担忧。问题是——还有多少其他客户也可能正处于风险之中？”

巴洛夫妇表示，他们的挫败感更深了，因为加航既不告诉他们调查采取了哪些措施，也不给出他们为何被归咎为责任方的解释。

“我们问他们到底发现了什么，”桑德拉说，“但完全被敷衍过去。”

而加航却告诉《Go Public》，夫妇的个人邮箱被黑，黑客通过“忘记密码”功能进入他们的Aeroplan账户，盗取了旅行积分，并拦截了加航发送给他们的邮件。

加航在一封邮件中写道：“任何机构都无法也不应被期望对所有客户的个人邮箱安全承担责任。我们的使用条款中对此限制已有明确说明。”

但专家波帕指出，这种说法站不住脚。现在并无确凿证据表明他们的邮箱被入侵，而信用分最终是从加航自身系统中被盗。

“听起来加航像是能看到客户的邮箱内容，”波帕说，“但加航并没有访问客户邮箱的权限，自然也无法断言邮箱被黑。”

《Go Public》要求加航提供证据，证明巴洛夫妇的邮箱被黑，但加航拒绝回应，仅表示出于“维护反欺诈程序完整性”，不讨论相关流程。

“我不明白他们怎么会知道或证明，我的邮箱被别人使用了，”比尔说。

巴洛夫妇说，他们第一次致电加航求助时，被告知信用额度被用于订了一张飞往东京的机票，票面名字是一个陌生人。

《Go Public》追踪找到了这位旅客，她人在拉斯维加斯。

这名女子确认自己搭乘了飞往东京的加航航班，并称是通过当地旅行社用自己的信用卡支付约5000加元购票的，但她拒绝提供付款凭证或旅行社名称。

她还说，加航从未联系过她了解为何她的名字出现在一张用被盗积分购买的机票上。

她在邮件中写道：“我不关心到底发生了什么，我付了钱，事情也已经快过去一年了。”

巴洛夫妇指出，加航对他们投诉的回应花了两个月之久，但最终调查结果却漏洞百出。

“太令人失望了，”比尔说，“花了那么久时间，结果调查却如此粗糙。”

除此之外，加航还未回答《CBC》提出的几个关键问题，包括：有多少客户曾举报加航钱包被盗？系统是否经过过安全漏洞测试？为何在重设密码时不要求更严格的身份验证？什么只通过邮件发送重要通知（如取消机票或钱包被使用），明知存在邮箱安全风险？

波帕表示：“我不会信任加航钱包的安全性，”并指出加航拒绝说明系统是否经过安全测试令人担忧。

他还提到，加航历史上也曾出现数据泄露事件。2018年加航App泄露2万名客户数据；2023年又有黑客入侵员工信息系统。

尽管如此，加航仍坚称这起事件与公司系统无关。

波帕并不买账：“我还没有看到任何安全测试的证据，也没有看到符合数据保护标准的实质性说明。”

最终，他们被迫自掏腰包购买了回程机票。由于仅剩两天，最后他们花了近2800加元买了经济舱座位，远低于他们原本预订的商务舱。比尔说，若临时再订商务舱，价格可能会接近9000加元。