Fransız veri koruma gözlemcisi Salı günü elektrik sağlayıcısı Électricité de France'a Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) gerekliliklerini ihlal ettiği için 600.000 Avro para cezası verdi.
Commission nationale de l'informatique et des libertés (CNIL), elektrik şirketinin 25.800'den fazla hesabın şifrelerini Temmuz 2022 gibi yakın bir tarihte MD5 algoritmasını kullanarak hash ederek saklayarak Avrupa yönetmeliğini ihlal ettiğini söyledi.
Bir mesaj özet algoritması olan MD5'in, çarpışma saldırıları riski nedeniyle Aralık 2008 itibariyle kriptografik olarak kırılmış kabul edildiğini belirtmek gerekir.
Yetkili ayrıca, 2.414.254 müşteri hesabıyla ilişkili şifrelerin yalnızca karma hale getirildiğini, bunun da hesap sahiplerini potansiyel siber tehditlere maruz bıraktığını kaydetti.
Soruşturma ayrıca EDF'yi GDPR veri saklama politikalarına uymadığı ve "toplanan verilerin kaynağı hakkında yanlış bilgi" verdiği için de suçladı.
CNIL, "Para cezasının miktarı, gözlemlenen ihlaller ve şirketin işbirliği ve iddia edilen tüm ihlallere uyum sağlamak için işlemler sırasında aldığı tüm önlemler dikkate alınarak kararlaştırıldı" dedi.
Para cezaları, CNIL'in Discord'u aktif olmayan hesaplar için veri saklama sürelerine uymadığı ve güçlü bir şifre politikası uygulamadığı için 800.000 € para cezasına çarptırmasından iki haftadan kısa bir süre sonra geldi.
thehackernews'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder