Французский надзорный орган по защите данных 29 ноября оштрафовал поставщика электроэнергии Électricité de France (EDF) на €600 000 за нарушение требований GDPR.
Национальная комиссия по информатике и свободам (CNIL) заявила , что электроэнергетическая компания нарушила европейские правила, сохранив пароли для более 25 800 учетных записей, хешировав их с использованием алгоритма MD5 еще в июле 2022 года. Стоит отметить, что MD5 не рекомендуется к использованию с 2008 года из-за риска коллизионной атаки.
Кроме того, пароли, связанные с более 2,4 млн. аккаунтов клиентов, были только хешированы, а не “засолены”, что подвергало владельцев учетных записей потенциальным киберугрозам.
Согласно документам, EDF оштрафована за несоблюдение политики хранения данных GDPR и за предоставление “неточной информации о происхождении собранных данных”.
Électricité de France – крупнейшая государственная энергогенерирующая компания Франции и крупнейшая в мире компания-оператор атомных электростанций. Electricite de France управляет 59 энергоблоками АЭС, обеспечивая электроснабжение 25 млн домов.