Veröffentlicht am: 1. Oktober 2020
Mithilfe des Leaked Credential Check-Dienstes (der „Dienst“) von F5 können Kunden, die BIG-IP verwenden, erkennen, wenn ein Anmeldeversuch bei ihrem Online-Eigentum mit einem Benutzernamen/Passwort-Paar erfolgt ist, das mit einem von einem unabhängigen Drittanbieter-Eigentum gestohlenen Benutzernamen übereinstimmt. Der Kunde kann entscheiden, wie er auf diese Informationen reagiert. Er kann beispielsweise vom vermeintlichen Benutzer verlangen, sein Kennwort zurückzusetzen, oder eine zusätzliche Authentifizierung vom vermeintlichen Benutzer verlangen, bevor er eine risikoreiche Aktion abschließt, etwa den Kauf einer Geschenkkarte oder eine Geldüberweisung. Diese Datenschutzerklärung gilt für die vom Dienst verwendeten Daten.
Gemäß den Datenschutzgesetzen der EU und ähnlicher Rechtsräume ist F5 ein Verarbeiter der Abfragedaten, die der Dienst vom Kunden von F5 erhält, und der Kunde ist (oder handelt in seinem Namen) ein Verantwortlicher für diese Daten, soweit sie personenbezogene Daten enthalten.
Der Dienst basiert auf einem proprietären Korpus gehashter Benutzernamen-/Passwortpaare, von denen bekannt ist, dass sie kompromittiert sind. Soweit dieser Korpus personenbezogene Daten darstellt, ist F5 der Verantwortliche für die Daten. Die Informationen in diesem Korpus stammen hauptsächlich aus (i) Listen gestohlener Benutzernamen-/Passwort-Paare aus dem Dark Web und (ii) Beiträgen von Kunden oder Sicherheitsforschern, die F5 die Verwendung von Benutzernamen-/Passwort-Hashes zur kollektiven Verteidigung autorisieren.
Der Dienst erhält als Abfrage Hashes, die aus einem Benutzernamen und einem Passwort abgeleitet werden. Der Dienst ergreift dann eine vom Kunden angegebene Aktion, je nachdem, ob das Benutzername/Passwort-Paar bekanntermaßen kompromittiert ist (d. h., ob das Benutzername/Passwort-Paar in der Sammlung der durchgesickerten Anmeldeinformationen enthalten ist, auf denen der Dienst basiert). Zu dieser Aktion kann beispielsweise das Blockieren des Anmeldeversuchs oder die Weiterleitung des Benutzers auf eine Seite gehören, auf der der Kunde eine andere Aktion ausführt, z. B. die Anforderung einer Kennwortzurücksetzung oder einer zusätzlichen Authentifizierung.
Wenn Sie der Meinung sind, dass der Dienst Ihren Zugriff auf das Online-Eigentum eines F5-Kunden unrechtmäßig blockiert oder eingeschränkt hat, wenden Sie sich bitte an diesen Kunden, um die Wiederherstellung Ihres Zugriffs zu beantragen.
Um Ihre Rechte in Bezug auf die Abfragedaten auszuüben, die F5 bei der Bereitstellung des Dienstes für einen Kunden verarbeitet, wenden Sie sich bitte an diesen Kunden. Um Ihre Rechte in Bezug auf andere Daten auszuüben, können Sie sich an F5 wenden. Weitere Informationen zu den Datenschutzpraktiken von F5 finden Sie in der Datenschutzrichtlinie von F5 .