Veröffentlicht: 1. Oktober 2020
Der Leaked Credential Check-Dienst (der „Dienst“) von F5 hilft BIG-IP-Kunden zu erkennen, wenn ein Versuch zur Anmeldung bei ihrem Online-Eigentum mit einem Benutzernamen/Passwort-Paar unternommen wurde, das mit einem Paar übereinstimmt, das aus einem nicht verwandten Eigentum Dritter gestohlen wurde. Der Kunde kann entscheiden, wie er mit diesen Informationen umgeht, indem er z. B. den angeblichen Benutzer auffordert, sein Passwort zurückzusetzen, oder indem er eine zusätzliche Authentifizierung vom angeblichen Benutzer verlangt, bevor er eine risikoreiche Aktion wie einen Geschenkgutscheinkauf oder eine Geldüberweisung durchführt. Diese Datenschutzerklärung gilt für die Daten, die der Dienst verwendet.
Gemäß den Datenschutzgesetzen der EU und ähnlicher Rechtsordnungen agiert F5 als Verarbeiter der Abfragedaten, die der Service von dem F5-Kunden erhält, und der Kunde agiert (oder handelt in dessen Namen) als Verantwortlicher für diese Daten, soweit diese personenbezogene Daten enthalten.
Der Service basiert auf einem proprietären Korpus von gehashten Benutzername/Passwort-Paaren, von denen bekannt ist, dass sie kompromittiert wurden. Soweit es sich bei diesem Korpus um personenbezogene Daten handelt, ist F5 der für die Verarbeitung Verantwortliche. Die Informationen in diesem Korpus stammen in erster Linie aus (i) Listen von gestohlenen Benutzername/Passwort-Paaren, die im Dark Web zu sehen sind, und (ii) Beiträgen von Kunden oder Sicherheitsforschern, die F5 autorisieren, Benutzername/Passwort-Hashes für die kollektive Verteidigung zu verwenden.
Der Dienst empfängt als Abfrage Hashes, die von einem Benutzernamen und einem Passwort abgeleitet sind. Der Dienstergreift dann eine vom Kunden festgelegte Maßnahme, die darauf basiert, ob das Benutzername/Passwort-Paar als kompromittiert bekannt ist (d. h., ob das Benutzername/Passwort-Paar im Korpus der durchgesickerten Anmeldedaten enthalten ist, der den Dienst versorgt). Diese Aktion könnte das Blockieren des Anmeldeversuchs oder das Weiterleiten des Benutzers zu einer Seite umfassen, auf der der Kunde eine andere Aktion durchführt, z. B. das Zurücksetzen des Passworts oder eine zusätzliche Authentifizierung.
Wenn Sie der Meinung sind, dass der Service Ihren Zugriff auf den Online-Inhalt eines F5-Kunden aus unrechtmäßigen Gründen gesperrt oder eingeschränkt hat, wenden Sie sich bitte an diesen Kunden, um die Wiederherstellung Ihres Zugriffs zu beantragen.
Um Ihre Rechte in Bezug auf die Abfragedaten auszuüben, die F5 bei der Bereitstellung des Dienstes an einen Kunden verarbeitet, wenden Sie sich bitte an diesen Kunden. Um Ihre Rechte in Bezug auf andere Daten auszuüben, können Sie sich an F5 wenden. Weitere Informationen über die Datenschutzpraktiken von F5 finden Sie in den Datenschutzhinweisen von F5.