Cơ quan giám sát bảo vệ dữ liệu của Pháp hôm thứ Ba đã phạt nhà cung cấp điện Électricité de France 600.000 € vì vi phạm các yêu cầu của Quy định bảo vệ dữ liệu chung (GDPR) của liên minh châu Âu.
Ủy ban quốc gia về thông tin và tự do (CNIL) cho biết tiện ích điện đã vi phạm quy định của châu Âu khi lưu trữ mật khẩu của hơn 25.800 tài khoản bằng cách băm chúng bằng thuật toán MD5 vào tháng 7 năm 2022.
Điều đáng chú ý là MD5, một thuật toán phân loại thông báo, được coi là đã bị phá vỡ bằng mật mã kể từ tháng 12 năm 2008 do nguy cơ bị tấn công xung đột.
Hơn nữa, cơ quan chức năng lưu ý rằng mật khẩu được liên kết với 2.414.254 tài khoản khách hàng chỉ được băm và không được thêm muối, khiến chủ tài khoản gặp phải các mối đe dọa mạng tiềm ẩn.
Cuộc thăm dò cũng chỉ tay vào EDF vì đã không tuân thủ các chính sách lưu giữ dữ liệu GDPR và cung cấp “thông tin không chính xác về nguồn gốc của dữ liệu được thu thập”.
CNIL cho biết: “Số tiền phạt đã được quyết định xem xét các vi phạm được quan sát thấy và sự hợp tác của công ty cũng như tất cả các biện pháp mà công ty đã thực hiện trong quá trình tố tụng để đạt được sự tuân thủ đối với tất cả các vi phạm bị cáo buộc”.
Các khoản tiền phạt đến chưa đầy hai tuần sau khi CNIL phạt Discord 800.000 € vì không tôn trọng thời gian lưu giữ dữ liệu đối với các tài khoản không hoạt động và thực thi chính sách mật khẩu mạnh.
