image

EDF krijgt 600.000 euro boete mede voor het niet salten van wachtwoordhashes

dinsdag 29 november 2022, 12:49 door Redactie, 4 reacties

Het Franse energieconcern EDF heeft van de Franse privacytoezichthouder een AVG-boete van 600.000 euro gekregen, mede vanwege het niet salten van wachtwoordhashes. EDF werd eerder dit jaar voor bijna tien miljard euro door de Franse staat genationaliseerd. Het bedrijf bleek de afgelopen jaren op verschillende punten de Franse privacywetgeving te hebben overtreden, zo stelt de Franse databeschermingsautoriteit CNIL op basis van eigen onderzoek.

Zo werden potentiële klanten op elektronische wijze benaderd, zonder dat EDF kon aantonen dat het van tevoren hier van de betrokken individuen toestemming voor had ontvangen. Ook werden mensen niet gewezen op hun privacyrechten en negeerde het bedrijf het recht op inzage van gegevens. Daarnaast schond EDF ook het onderdeel van de AVG waarin staat dat de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen.

CNIL ontdekte dat het Franse energiebedrijf wachtwoorden van 25.000 klanten op een onbeveiligde wijze had opgeslagen. Daarnaast bleek dat EDF de wachtwoorden van 2,4 miljoen klantenaccounts alleen had gehasht en geen salt had toegepast. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn.

Een salt is een waarde die aan het wachtwoord van de gebruiker wordt toegevoegd, waarna er een hash van wordt gemaakt. Door het gebruik van een salt en een hash wordt het, afhankelijk van het gekozen wachtwoord, een stuk lastiger voor een aanvaller om het wachtwoord dat bij de hash hoort te achterhalen. Door het niet salten van wachtwoordhashes zijn die eenvoudiger te kraken, waardoor de wachtwoorden van gebruikers risico lopen, aldus CNIL. Vanwege de manier waarop EDF samenwerkte en alle punten inmiddels heeft opgeloste kwam de Franse toezichthouder uit op een boete van 600.000 euro.

Reacties (4)
29-11-2022, 16:52 door Anoniem
Koopje zou ik zeggen.... dat hebben ze ruim bespaart op it.....
29-11-2022, 20:19 door Anoniem
Door Anoniem: Koopje zou ik zeggen.... dat hebben ze ruim bespaart op it.....
Sowieso. EDF, wat van de staat is moet een boete betalen aan de staat. Kost per saldo dus niks.
30-11-2022, 10:32 door Anoniem
Door Anoniem:
Door Anoniem: Koopje zou ik zeggen.... dat hebben ze ruim bespaart op it.....
Sowieso. EDF, wat van de staat is moet een boete betalen aan de staat. Kost per saldo dus niks.

Hoog-over kun je dat zeggen.

Maar als je wel eens bij een groter bedrijf gewerkt hebt waar allerlei diensten gebouwd worden met bouwblokken van andere diensten weet je dat interne kostenverrekening echt wel pijn kan doen .

Dan praat men bij de koffie automaat wel over "is eigenlijk mickey mouse geld" voor dat soort verrekeningen met een andere BU (business unit), maar het gaat wel degelijk van het budget af, en de eigen PL (profit-loss) wordt ermee berekend.
Helemaal zuur is het natuurlijk dat je als interne klant gedwongen bent af te nemen van de andere BU, en dus gewoon list-price gerekend krijgt . Terwijl je van een externe concurrent van het bedrijf een _betere_ prijs kunt krijgen . (Of een externe klant van die BU ook een betere prijs kon krijgen ).

Nu zal als puntje bij paaltje komt "de" overheid een rijksdienst of staatsbedrijf nooit helemaal laten omvallen, maar ik vermoed dat hetzelfde gevecht om budget verdelingen en zwarte pieten daar ook zo werkt.
30-11-2022, 14:53 door karma4
Door Anoniem: Koopje zou ik zeggen.... dat hebben ze ruim bespaart op it.....
Ozin het is een kronkel om een security inrichting als privacy taak in te vullen. Big Brother neigingen. Het is besmettelijk
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.