Fransız veri koruma gözlemcisi Salı günü elektrik sağlayıcısına para cezası verdi Fransız Elektrik Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) gerekliliklerini ihlal ettiği için 600.000 €.
Commission nationale de l’informatique et des libertés (CNIL), elektrik şirketinin Temmuz 2022’de MD5 algoritmasını kullanarak 25.800’den fazla hesabın şifrelerini saklayarak Avrupa yönetmeliğini ihlal ettiğini söyledi.
Bir mesaj özet algoritması olan MD5’in, çarpışma saldırıları riski nedeniyle Aralık 2008 itibariyle kriptografik olarak bozuk kabul edildiğini belirtmekte fayda var.
Ayrıca yetkili, 2.414.254 müşteri hesabıyla ilişkili şifrelerin yalnızca hashing işlemine tabi tutulduğunu ve tuzlanmadığını, hesap sahiplerini potansiyel siber tehditlere maruz bıraktığını kaydetti.
Soruşturma ayrıca, GDPR veri saklama politikalarına uymadığı ve “toplanan verilerin kaynağı hakkında yanlış bilgi” sağladığı için EDF’yi işaret etti.
CNIL, “Para cezasının miktarına, gözlemlenen ihlaller ve şirketin işbirliği ve iddia edilen tüm ihlallere uyum sağlamak için yargılama sırasında aldığı tüm önlemler dikkate alınarak karar verildi.”
Para cezaları, CNIL’in etkin olmayan hesaplar için veri saklama sürelerine uymaması ve güçlü bir parola politikası uygulamaması nedeniyle Discord’a 800.000 € para cezası vermesinden iki haftadan kısa bir süre sonra geldi.