法国电力供应商因使用弱MD5算法存储用户密码被罚款

法国数据保护监察机构周二对电力供应商处以罚款法国电力公司（EDF）€600000违反了欧盟通用数据保护条例（GDPR）的要求。

国家信息和自由委员会（CNIL）表示，这家电力公司最近于2022年7月通过使用MD5算法对25800多个账户的密码进行哈希运算，从而违反了欧洲法规。

值得注意的是，由于存在冲突攻击的风险，截至2008年12月，MD5（一种消息摘要算法）被认为已被加密破坏。

此外，该机构还指出，与2414254个客户账户相关的密码只进行了散列处理，未进行加密处理，从而使账户持有人面临潜在的网络威胁。

调查还指责EDF未能遵守GDPR数据保留政策，并提供了“关于收集数据来源的不准确信息”。

CNIL表示：“罚款金额的决定是考虑到公司观察到的违规行为、公司的合作以及在诉讼过程中采取的所有措施，以达到遵守所有指控的违规行为”。

CNIL对Discord€；处以罚款后不到两周；800000，原因是它没有遵守非活动帐户的数据保留期，也没有强制执行严格的密码策略。