El organismo de control de protección de datos francés multó el martes al proveedor de electricidad Electricidad de Francia 600.000 € por violar los requisitos del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
La Comisión Nacional de la Informática y las Libertades (CNIL) dijo la empresa eléctrica incumplió la normativa europea al almacenar las contraseñas de más de 25.800 cuentas mediante el uso de hash algoritmo MD5 tan recientemente como julio de 2022.
Vale la pena señalar que MD5, un algoritmo de resumen de mensajes, se considera criptográficamente roto a partir de diciembre de 2008 debido al riesgo de ataques de colisión.
Además, la autoridad señaló que las contraseñas asociadas a 2.414.254 cuentas de clientes solo habían sido codificadas y no saladoexponiendo a los titulares de las cuentas a posibles amenazas cibernéticas.
La investigación también señaló a EDF por no cumplir con las políticas de retención de datos de GDPR y por proporcionar “información inexacta sobre el origen de los datos recopilados”.
“El monto de la multa se decidió considerando los incumplimientos observados y la cooperación de la empresa y todas las medidas que ha tomado durante el proceso para lograr el cumplimiento de todos los supuestos incumplimientos”, dijo la CNIL. dijo.
Las multas llegan menos de dos semanas después de la CNIL Discord multado con 800.000€ por no respetar los períodos de retención de datos para cuentas inactivas y hacer cumplir una política de contraseña segura.