Компания использовала уязвимый алгоритм хеширования, поставив под угрозу миллионы аккаунтов клиентов.
https://www.securitylab.ru/upload/ib...dzyxk6roo3.jpg
Французский надзорный орган по защите данных 29 ноября оштрафовал поставщика электроэнергии Électricité de France (EDF) на €600 000 за нарушение требований GDPR.
Национальная комиссия по информатике и свободам (CNIL) заявила , что электроэнергетическая компания нарушила европейские правила, сохранив пароли для более 25 800 учетных записей, хешировав их с использованием алгоритма MD5 еще в июле 2022 года. Стоит отметить, что MD5 не рекомендуется к использованию с 2008 года из-за риска коллизионной атаки.
Кроме того, пароли, связанные с более 2,4 млн. аккаунтов клиентов, были только хешированы, а не «засолены», что подвергало владельцев учетных записей потенциальным киберугрозам.
Согласно документам, EDF оштрафована за несоблюдение политики хранения данных GDPR и за предоставление «неточной информации о происхождении собранных данных».
Électricité de France - крупнейшая государственная энергогенерирующая компания Франции и крупнейшая в мире компания-оператор атомных электростанций. Electricite de France управляет 59 энергоблоками АЭС, обеспечивая электроснабжение 25 млн домов.