法国电力公司因MD5算法存储密码及数据收集问题遭监管罚款

法国数据保护监督机构于11月29日，对电力供应商法国电力公司（EDF）处以了60万欧元的罚款，因为它违反了欧盟通用数据保护条例（GDPR）的多个要求。法国电力公司（EDF）是一家法国能源巨头，拥有840亿欧元的营业额和近2600万的客户。

法国国家信息与自由委员会(CNIL)表示，罚款的一部分缘由是2022年7月该公司使用MD5算法，对超过25800个账户的密码进行了散列处理，并储存了这些密码。

CNIL宣布罚款事由与对应法条的页面

MD5是一种消息摘要算法，多年来，由美国国家标准技术研究院（NIST）颁布的基于哈希函数的MD5和SHA-1算法，是国际上公认最先进、应用范围最广的两大重要算法，后者更被视为计算安全系统的基石。但目前，MD5算法由于存在被碰撞攻击的风险，自2008年12月起，被认为存在密码学上的破绽。此外，监督机构还发现，该公司对2,414,254个客户账户的密码虽然进行了哈希处理，但没有“加盐”，这使得账户持有人面临网络威胁。“加盐”是指在使用常规哈希算法加密的同时，往密码里掺入一点随机数据，从而加大密码破解难度。

法国国家信息与自由委员会做出处罚的依据是GDPR第32条规定：数据控制者必须确保其实施的自动数据处理有足够的安全性，实现个人资料的假名化及加密。安全措施的充分性一方面要根据处理的特点和它所带来的风险来评估，另一方面要考虑到知识水平和措施的成本。由于早在2013年，法国国家信息系统安全局（ANSSI）就警告并提醒道：密码应以计算速度较慢的单向加密函数（哈希函数）转换的形式存储，如PBKDF2算法，密码的转换应使用随机“加盐”的方式，以防止预先计算的表格的攻击。由于非稳健的哈希函数（如MD5函数）有已知的漏洞，在承载这些函数的服务器被破坏后，在暴力攻击的情况下，不能保证密码的完整性和保密性。由于许多互联网用户使用相同的密码来验证他们不同的在线账户，攻击者可以利用泄露的数据进一步侵入他们的其他账户，以实施盗窃或欺诈等行为。

除了密码问题外，CNIL还指出法国电力公司未能遵守GDPR数据保护条例，并提供了“关于收集的数据来源的不准确信息”。该指控叙述到：法国电力公司在2020年至2021年期间，通过发送电子邮件进行“商业机会勘察”来收集数据，未能提供一份数据收集声明，获得人们的事先同意，违反了GDPR第7条第1款：数据处理需要基于同意，控制者应能证明数据主体已同意处理与他有关的个人数据。

CNIL认为，法国电力公司为征得人们对收集他们数据的同意，要向他们提供一份详尽的清单，并直接在收集媒体（如电子邮件）上展示，或者如果清单太长，则通过引用上述清单和隐私政策的超链接进行发送。

CNIL在其函件中强调了法国电力公司的合作，并明确指出所有报告的缺点，都已得到纠正。CNIL说：“考虑到所观察到的包括数据处理以及密码存储上的所有违规行为，和之后该公司采取的所有补救措施，才做出了罚款金额为60万欧元的决定。”

本文参考：

https://thehackernews.com/2022/11/french-electricity-provider-fined-for.html

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733

声明：本文来自公安部第三研究所网研基地，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。