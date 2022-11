Het Franse energieconcern EDF heeft van de Franse privacytoezichthouder een AVG-boete van 600.000 euro gekregen, mede vanwege het niet salten van wachtwoordhashes. EDF werd eerder dit jaar voor bijna tien miljard euro door de Franse staat genationaliseerd. Het bedrijf bleek de afgelopen jaren op verschillende punten de Franse privacywetgeving te hebben overtreden, zo stelt de Franse databeschermingsautoriteit CNIL op basis van eigen onderzoek.

Zo werden potentiële klanten op elektronische wijze benaderd, zonder dat EDF kon aantonen dat het van tevoren hier van de betrokken individuen toestemming voor had ontvangen. Ook werden mensen niet gewezen op hun privacyrechten en negeerde het bedrijf het recht op inzage van gegevens. Daarnaast schond EDF ook het onderdeel van de AVG waarin staat dat de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen.

CNIL ontdekte dat het Franse energiebedrijf wachtwoorden van 25.000 klanten op een onbeveiligde wijze had opgeslagen. Daarnaast bleek dat EDF de wachtwoorden van 2,4 miljoen klantenaccounts alleen had gehasht en geen salt had toegepast. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn.

Een salt is een waarde die aan het wachtwoord van de gebruiker wordt toegevoegd, waarna er een hash van wordt gemaakt. Door het gebruik van een salt en een hash wordt het, afhankelijk van het gekozen wachtwoord, een stuk lastiger voor een aanvaller om het wachtwoord dat bij de hash hoort te achterhalen. Door het niet salten van wachtwoordhashes zijn die eenvoudiger te kraken, waardoor de wachtwoorden van gebruikers risico lopen, aldus CNIL. Vanwege de manier waarop EDF samenwerkte en alle punten inmiddels heeft opgeloste kwam de Franse toezichthouder uit op een boete van 600.000 euro.