git – marx.wtf

Leakvent 25: Berlin

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Auf einem Server unter █.berlin.boanet.de war 2024 ein Symfony Profiler offen zugänglich erreichbar. Dort lagen wie üblich Konfigurationsdaten sowie Zugangsdaten für ein Ticketsystem.

Über das Ticketsystem konnten u.a. gefunden werden:

EALS-Datensätze mit personenbezogenen Daten (Name, Adresse, E-Mail-Adresse und Handynummer). EALS ist ein Elektronisches Anmelde- und Leitsystem der der Berliner Senatsverwaltung für Bildung, Jugend und Wissenschaft. Es soll Anmeldeprozesse Berliner Schulen vereinfachen und Kommunikation zentralisieren.
Anmeldungen zur “WiKo” (Name, Telefonnummer, Geburtsdatum, Geburtsland und Staatsangehörigkeit, Sprachstand). WiKo ist die Berliner Willkommensklassendatenbank
Nextcloud-Shares mit Zertifikaten und zugehörigen private keys (https://cloud.vcat.de/index.php/s/█)
Weitere Zugangsdaten

Außerdem waren leakende env-Dateien und git-Ordner aufgefallen. Diese sind aber noch nicht alle entfernt worden, daher fehlen hier Details.

Leakvent 24: Telco-Dinge

Über die letzten Jahre hat sich eine kleine Sammlung technisch langweiliger Datenlecks im Telco-Ökosystem ergeben. Ursache dafür war (oder ist) eine Mischung von .git-Ordnern, .env-Dateien und Symfony Profilern. Belohnt wurde das Stöbern mit Beschäftigtendaten, Sim Inventories, Ausweiskopien und Hotline-Aufzeichnungen.

Deutsche Telekom

Schon Jahre her und relativ wenig Impact hatten drei Lecks bei der Telekom.

Unter https://gard.telekom.de/█/Dashboard.jspa wurde auf einen “GARD Webex Teams Ankündigungs-Chat” verwiesen. Dieser konnte über einen Kurzlink https://eurl.io/#████ betreten werden, auch ohne Telekom-Mitarbeiter zu sein. In dem dazugehörigen Webex-Chat waren Name, Fotos und E-Mail-Adressen von knapp 600 Beschäftigten zu sehen.

Unter https://█.de/.git/config war ein deploy token für gitlab.devops.telekom.de zu finden. Damit konnte aber nur dieses Repository gecloned werden. Der weitere Zugriff über die gitlab-API war eingeschränkt.

[core]
...
[remote "origin"]
    url = https://gitlab+deploy-token:██████████
		@gitlab.devops.telekom.de/██.git
    fetch = +refs/heads/*:refs/remotes/origin/*

Bei https://nwkr-intern.telekom.jobs waren dazugehörige env- und env.local-Dateien zu finden. Darin enthalten: API keys, SQL-Zugangsdaten sowie Zugangsdaten für die Webseite.

###> SF CONFIG ###
SFOAPI_USER=██████
SFOAPI_COMPANY=telekom██
SFOAPI_PWD='██████████'
NWKR_INTERNAL_LINK_BASE=https://nwkr-intern.telekom.jobs

SF_SITE_OTE_PLUS_SA=██████████
SF_SITE_GERMANOS_SA=${SF_SITE_OTE_PLUS_SA}
SF_SITE_OTE_AE=${SF_SITE_OTE_PLUS_SA}
SF_SITE_COSMOTE_EVALUE=██████████
SF_SITE_COSMOTE_AE=██████████
...
DATABASE_URL=mysql://telekom:██████████@127.0.0.1:3306/telekom_hr_451
###< doctrine/doctrine-bundle ###

Lycamobile

Lycamobile ist ein MVNO, der in fast 20 Ländern aktiv ist und mehr als 15 Millionen Kund*innen versorgt. Unter verschiedenen IP-Adressen waren und sind git-Repositories zugänglich, die offenbar zu Lycamobile gehören.

[core]
...
[remote "origin"]
    url = http://newgit.ldinternal.com/lycadev/
                                  newsinglecode-lyca-uk.git
    fetch = +refs/heads/*:refs/remotes/origin/*

In diesen Repositories gibt es eine Mischung interessanter Dateien,

aus_prod_db.sql, backupspain04-04-18.sql, composer.json, composer.lock, composer.phar, contributing.md, db_spain_new.sql, denmark_db.sql, index.php, license.txt, lyca_gdpr.sql, new_australia_db.sql, new_denmark_db3.sql, new_denmark_db4.sql, readme.rst, smartfocusemail.sql, spain_prod_db.sql, system, uk_prod_db1.sql, uk_prod_db2.sql, uk_prod_db.sql,

und git branches:

ADD_SFMC_IN_UK_STAGE, lmde-postpaid-platform, master, plat-prod-de, 2Oprod, 2oApisGERPROD, 2oSpain, 2oUKPROD, 2oapiProd, 2oprodmove, ADD_ESIM_IN_GERMANY_PROD, FreeSimGermStage, UK_LATEST_STAGE, UK_NEW_ENTITY_FOR_MOBILE, UK_PLATFORM_LATEST_STAGE, UKstage_ipaddress, Uk_loyalty_changes, ValidationPROD, add-fields-rates, add_organization_name, de-preprod-mobile, de_platform, delete_api, lycaprod_germany.

Eine der Dateien enthielt einen gültigen API key für Complycube, einem Dienst für KYC und identity verification. Damit konnte u.a. auf Bilder von Ausweisen zugegriffen werden.

Ein argentinischer Ausweis, der aus der Complycube-API gefallen ist

Auf diverse Nachrichten über verschiedene Kanäle hat Lycamobile bisher nicht angemessen reagiert. Wer sucht, findet leicht weitere git-Repositories.

Variatel

Variatel ist ein MVNO, deutlich kleiner als Lycamobile und nur in Deutschland tätig, im Netz der Deutschen Telekom. Unter http://█.█.█.█/.env leakte im März/April 2023 eine env-Datei. Diese Datei enthielt Zugangsdaten für einen Datenbank-Server:

DB_CONNECTION=pgsql
DB_HOST=127.0.0.1
DB_PORT=5432
DB_DATABASE=variateldb
DB_USERNAME=████████
DB_PASSWORD=████████

Dieser Datenbank-Server war unter stagebkend.variatel.de im Internet zu erreichen. Die gleichen Zugangsdaten wurden im Produktivsystem unter ec2-█.eu-central-1.compute.amazonaws.com genutzt. Auch dieser Datenbank-Server war einfach so zu erreichen.

Neben Namen, Adressen und natürlich Telefonnummern, gab die Datenbank auch IMSI, PINs und PUKs her

Über diesen Zugang konnte mittels pg_read_file eine aktuellere env-Datei ausgelesen werden. Diese enthielt einen gültigen API key für mobbeel, einem Dienst für KYC und identity verification.

MOBB_SCAN_AGENT_URL=https://mobbscan-cloud.mobbeel.com/mobbscan-agent
ALTEN_API_USERNAME=variatel-api
ALTEN_API_PASSWORD=████████

Damit konnte u.a. auf Bilder von Ausweisen aus ca. 13.000 Verifizierungsvorgängen zugegriffen werden.

Ältere Verifizierungsvorgänge waren nachvollziehbar

Sobald Vor- und Nachname zum Dokument passen, klappt es doch

Außerdem konnte auf Call Data Records zugegriffen werden.

SFTP_HOST=██.██.██.██
SFTP_USERNAME=████████
SFTP_PASSWORD=████████
SFTP_PRIVATE_KEY=████████

Wer, wann, wie lange, mit wem. All das geht aus den Call Data Records hervor

Weiterhin gab es eine Datenbank readme_to_recover mit einem Hinweis darauf, dass Daten von dem Server kopiert wurden.

Vor uns war jemand anderes auf diesem Server gewesen

Auf mehrere Meldungen hat Variatel nicht geantwortet. Unter http://stagebkend.variatel.de/.git/ wird der Quellcode der Anwendung weiterhin zur Verfügung gestellt.

[remote "origin"]
    url = https://github.com/cognitude-dev/variatel-be.git
    fetch = +refs/heads/*:refs/remotes/origin/*

TKD Solutions

TKD bietet Device as a Service an. Auch hier war 2024 ein git-Repository abrufbar.

[core]
...
[remote "origin"]
    url = https://██████████████@dev.azure.com/TKDSolutions/
	                                      ████Auftragsliste
    fetch = +refs/heads/*:refs/remotes/origin/*

Ein Skript war anfällig für eine SQL-Injection. Passwörter wurden mit dem veralteten Hashverfahren md5 und ohne Salt gespeichert. Sie bestanden oft aus dem ersten Buchstaben des Vornamens und dem Nachnamen.

Diese Zugangsdaten erlaubten den Zugriff auf ein Portal zur Auftragserfassung, ein zweiter Faktor wurde beim Login nicht verlangt. In dem Portal konnten u.a. Stammdaten von Nutzer*innen und Kund*innen, Rufnummern und SIM-Seriennummern eingesehen werden.

git-Repository, SQL-Injection, md5 und Mangel an 2FA erleichtern den Zugriff auf das System zur Auftragserfassung

Handystar / Mobilezone

Mobilezone betreibt den Teleshopping-Sender Handystar. Auch hier war 2024 ein git-Repository abrufbar.

[init]
...
[core]
...
[remote "origin"]
    url = https://gitlab-ci-token:████████████
		@gitlab.com/████/abwicklungssystem.git
    fetch = +refs/heads/*:refs/remotes/origin/*

Ein Skript war anfällig für eine SQL-Injection. Passwörter wurden mit dem veralteten Hashverfahren md5 und ohne Salt gespeichert. Das Passwort eines Nutzers konnte in wenigen Sekunden wiederhergestellt werden.

Diese Zugangsdaten erlaubten den Zugriff auf ein Portal zur Bestellabwicklung, ein zweiter Faktor wurde beim Login nicht verlangt. In dem Portal konnten u.a. Stammdaten von Kund*innen eingesehen und Aufzeichnungen der Bestell-Hotline abgehört werden.

git-Repository, SQL-Injection, md5 und Mangel an 2FA erleichtern den Zugriff auf das System zur Bestellabwicklung

Aufzeichnungen von Anrufen bei der Hotline wurden nicht erwartet

Für mehrere Tage waren Aufgrund technischer Probleme nur Online-Bestellungen möglich

Das Unternehmen beauftragte eine größere Kanzlei zu prüfen, ob Betroffene benachrichtigt werden müssen: “Eine Benachrichtigung der betroffenen Personen gem. Art. 34 DSGVO ist nach unserer Auffassung nicht erforderlich.”

esim.me / TelcoVillage

TelcoVillage vertreibt unter anderen “Hardware-eSIMs” ‒ SIM-Karten, die ältere Geräte eSIM-fähig machen. Auch hier war 2025 ein git-Repository abrufbar.

[core]
...
[remote "origin"]
    url = https://██@bitbucket.telcovillage.com/██.git
    fetch = +refs/heads/*:refs/remotes/origin/*

In dem Repository waren viele php-Dateien zu finden,

… index03052018.php, index0.php, index1.php, index20171031.php, index20180122.php, index2.php, index_ajax.php, indexBkp.php, indexGD.php, index_good_22052018.php, indexGood.php, index_no_ajax.php, index.php, …

Manche der Dateien enthielten gültige root-SSH-Zugänge.

<?php
...
if (!($resource=@ssh2_connect("█.█.█.█",22))) {
  echo "[FAILED]<br />";
  exit(1);
}
...
if (!@ssh2_auth_password($resource,"root","█████████████")) {
  echo "[FAILED]<br />";
  exit(1);
}
...

Das ging unerwartet schnell.

WEtell / amiva

Unter https://teststage.wetell.de/_profiler/ war 2024 ein Symfony Profiler offen zugänglich erreichbar. Über diesen konnten u.a. Formulareingaben mit Zugangsdaten im Klartext sowie Konfigurationsdaten eingesehen werden.

Per Suche nach method: POST und URL: anmelden filtern wir nach interessanten Logs

Interessante Logs beinhalten Zugangsdaten im Klartext

Diese Zugangsdaten erlaubten den nicht-administrativen Zugriff auf die Portale http://teststage.wetell.de/ bzw. http://teststage.amiva.de/.

“Meine Verträge” zeigten anderswo auch eSIM-QR-Codes

ReiseSIM / TravelFon

TravelFon vertreibt unter ReiseSIM SIM-Karten und eSIMs. Auch hier war 2025 ein git-Repository abrufbar.

[core]
...
[remote "origin"]
  url = ssh://gogs@gitlab.travelfon.eu██/██reisesim.de.git
  fetch = +refs/heads/*:refs/remotes/origin/*

In dem Repository waren viele php-Dateien zu finden. Eine der Dateien enthielt gültige Zugangsdaten für eine Airalo-API. Airalo ist ein großer eSIM-Händler. Damit konnten u.a. vergangene eSIM-Bestellungen einschließlich QR-Code abgerufen werden.

<?php
…
$clientid = '537███████████████';
$clientsecret = '███████████’;
$api = 'https://partners-api.airalo.com/’; 
$accesstoken = '█████████████████’;
…

Über die Airalo-API kommt man in drei Schritten zum eSIM-QR-Code

Leavent 23: Roos Consult / Hamburgs Beste Arbeitgeber

Roos Consult zeichnet “Hamburgs beste Arbeitgeber” aus. Dazu werden Mitarbeitende befragt. Die Teilnahme soll anonym möglich sein. In der Datenschutzerklärung heißt es:

Die Befragung erfolgt anonym, d.h. einzelnen Antworten können keine konkreten Personen zugeordnet werden.

Wir sichern Ihnen zu, dass selbstverständlich Ihre Anonymität gewährleistet ist. Nach Registrierung der Antworten werden diese umgehend elektronisch erfasst, verarbeitet und weiter anonymisiert. Nach Abschluss der Untersuchungen werden die Daten gelöscht.

Möglicherweise war die Befragung dann aber weniger anonym.

Unter https://self-bf.de/.git/ lag 2024 Quellcode.
Das Skript core/funcs.php enthielt Datenbank-Zugangsdaten:

$servername = "localhost";
$username = "██████";
$password = "███████████████████████████";
$dbname = "██████";

Über ein PhpMyAdmin unter http://█.█.█.█/phpmyadmin/ konnte auf die Datenbank zugegriffen werden.

Dort konnten dann die Antworten befragter Personen, deren TANs oder an diese versandte E-Mails sowie Passwörter, z.T. im Klartext, von Admin-Accounts eingesehen werden.

Das Backend zeigt, wer einen Fragebogen abgegeben hat

Beantwortete Fragebögen haben eine result_id

In der Datenbank wurden Zuordnungen von Personen (E-Mail-Adressen) zu ID und Token gespeichert

Leakvent 20: Junge Liberale SH

Bei den Jungen Liberalen Schleswig-Holstein, bekannt durch radikale Forderungen wie “Freies Parken für freie Bürger“, war 2023 ein git-Repository offen zugänglich. Dieses enthielt neben Quellcode auch einen Schlüssel im Klartext. Mit diesem konnte unter https://lako.julis-sh.de/export.php?token=█ auf Namen und E-Mail-Adressen der Teilnehmenden eines Landeskongresses zugegriffen werden.

Leakvent 19: GlobalLogic / Meelogic

Kurz nach der erfolgreichen Integration von Meelogic in GlobalLogic, ein Softwareentwicklungsunternehmen, lag ein git-Repository offen herum. In der .git/config waren Bitbucket-Zugangsdaten zu finden.

...
[remote "origin"]
    url = https://jenkins-█:█@bitbucket.meelogic.com/██/frontend.git
    fetch = +refs/heads/develop:refs/remotes/origin/develop
...

Der Account jenkins-█ hatte im Bitbucket auch Schreibzugriff auf verschiedene Projekte wie Automation oder DevOps Training. Dort waren weitere Zugangsdaten zu finden, darunter auch welche für Jira, einschließlich Zugriff auf das Projekt AWS-Vulnerability Management. Mit dem gleichen Account konnte auch auf das Meelogic-Intranet zugegriffen werden. Dort konnten u.a. Protokolle oder ein Personenverzeichnis eingesehen werden. Damit wurde der Ausflug abgebrochen und das Leck gemeldet.

Leakvent 16: Saatchi & Saatchi

Die Werbeagentur Saatchi & Saatchi hatte ein git-Repository für alle zugänglich auf einem Webserver abgelegt. In der .git/config waren bitbucket-Zugangsdaten zu finden.

[core]
	repositoryformatversion = 0
	filemode = true
	bare = false
	logallrefupdates = true
[remote "origin"]
	url = http://saatchi██:██████@bitbucket.org/saatchilondon/██████-website.git
	fetch = +refs/heads/*:refs/remotes/origin/*
[branch "develop"]
	remote = origin
	merge = refs/heads/develop

Das Repository enthielt auch zwei Dateien (config/database.php, config/config.php) mit weiteren, auch gültigen Zugangsdaten.

$db['dev']['hostname']  = 'localhost';
$db['dev']['username']  = '████';
$db['dev']['password']  = '████';
$db['dev']['database']  = '████';
$db['dev']['server_name']   = '████.saatchidigital.co.uk';
$db['dev']['dbdriver']  = 'mysqli';
$db['dev']['cache_on']  = FALSE;

$db['live']['hostname'] = '████.rds.amazonaws.com';
$db['live']['username'] = '████';
$db['live']['password'] = '████';
$db['live']['database'] = '████_live';
$db['live']['server_name']  = 'www.████.co.uk';
$db['live']['cache_on'] = TRUE;

$config['s3_bucket'] = 'static.████.co.uk';
$config['s3_access_key'] = '████';
$config['s3_secret_key'] = '████';
$config['s3_endpoint']   = 's3-eu-west-1.amazonaws.com'; //Ireland

$config['twitter']['api_key']   = '████';
$config['twitter']['api_secret']= '████';
$config['twitter']['access_token']  = '████';
$config['twitter']['token_secret']  = '████';

$config['fb']['app_id'] = '████';
$config['fb']['secret'] = '████';
$config['fb']['page_id'] = '████';
$config['fb']['page_access_token'] = '████';

Die Datenbank-Zugangsdaten konnten dank eines exponierten phpMyAdmin unter https://████/phpmyadmin/ auch genutzt werden. Alternativ konnte ein Datenbank-Backup unter https://████/database.sql.gz heruntergeladen werden.

Die s3-Zugangsdaten erlaubten den Zugriff auf 93 Buckets mit weiteren Backups, Quellcode, anderen Zugangsdaten und personenbezogenen Daten. Auf diverse E-Mails haben Saatchi & Saatchi sowie einige direkt kontaktierte Mitarbeiter nicht geantwortet. Ob und wann Keys rotiert wurden, kann ich nicht sagen.

Leakvent 13: Fonds Finanz

Gleich mehrere Datenlecks hatte die inzwischen nicht mehr erreichbare Plattform maklermovie.de der Fonds Finanz Maklerservice GmbH. Früher wurden dort Erklärvideos für Finanzprodukte veröffentlicht. Über die Datenlecks konnte auf Quellcode und Konfiguration sowie Daten von tausenden Nutzer*innen zugegriffen werden.

Unter https://www.maklermovie.de/█.zip lag ein Archiv mit Quellcode und Konfigurationsdaten
Die in diesem Archiv enthaltenen SQL-Zugangsdaten konnten unter https://www.maklermovie.de/phpmyadmin█/ genutzt werden, um auf die Datenbank zuzugreifen. In der Datenbank waren u.a. Namen, Adressen, Kontaktdaten und gehashte Passwörter von tausenden Nutzer*innen gespeichert.
Im Quellcode stand an diversen Stellen das root-Passwort für den Server, der unter www.maklermovie.de zu erreichen war: sshpass -p "█"
Im Quellcode waren auch Zugangsdaten für den E-Mail-Account service@… zu finden. Im Postfach lagen weitere Zugangsdaten für info@, service@, admin@, webmaster@.
Diverse weitere Dateien mit Quellcode konnten vom Webserver heruntergeladen werden, bspw.: https://www.maklermovie.de/…/███.php.ol4. Auch diese Dateien enthielten z.T. sensible Informationen.
Ein git-Repository gab ebenfalls Quellcode und sensible Informationen preis.

Nach meiner Meldung und einer rechtsgrundlageorientierten Rückfrage hatte ich dem Unternehmen noch einmal geantwortet, mich dann aber längere Zeit nicht weiter mit dem Leck befasst. Erst jetzt fällt mir auf, dass es laut LeakIX zumindest in Teilen noch fast zwei Jahre nach meiner Meldung im Mai 2022 Bestand hatte.

Screenshot von https://leakix.net/host/138.201.58.110/

Hinweis: Ich habe das Leck lediglich gemeldet. Konkret an ~~die Sitzung des Ausschusses und deren Verlauf~~ den Finder des Datenlecks und den Ablauf der Meldung kann ich mich nicht erinnern.

Leakvent 12: Prisa

Ein git-Repository des Medienkonzerns Prisa (u.a. El Pais) lag offen zugänglich im Internet. Die config-Datei enthielt Zugangsdaten für gitlab.com, ein zweiter Faktor wurde nicht verlangt:

[core]
    repositoryformatversion = 0
    filemode = true
    bare = false
    logallrefupdates = true
[remote "origin"]
    fetch = +refs/heads/*:refs/remotes/origin/*
    url = https://███Prisa:██@gitlab.com/prisa/tecnologia/██/██.git
[branch "master"]
    remote = origin
    merge = refs/heads/master

Mit dem gitlab-Account konnte auf 478 Projekte zugegriffen werden, auch auf Projekte, die Teile einer Pipeline sind. Eine kleine Auswahl:

prisa-corporacion/portal-prisa.com/prisa.com_████
prisanoticias/el-pais/estaticos-el-pais/████.elpais.com
prisa/prisabs/portal-prisabs.com/prisabs.com_████
prisaradio/los40/los40.████
prisaradio/████.podiumpodcast.com
prisa/tecnologia/infraestructura/████.elpais.com/pipeline_jenkins_static███

Leakvent 11: medbill

Medbill ist eine Abrechnungs-Plattform für Ärzt*innen.

Der Schutz Ihrer Daten hat für uns oberste Priorität.
Wir setzen modernste Sicherheitstechnologien ein,
um Ihre Informationen bestmöglich zu schützen
und sicher aufzubewahren.
https://medbill.de/

Konfigurationsdaten und Quellcode der Plattform waren 2022 offen zugänglich. Die Daten ermöglichten Zugang zu einem SuperAdmin-Account von https://app.medbill.de/ und den Zugriff auf ca. 40.000 Rechnungen. Aus den Rechnungen gehen Namen und Adressen von Patient*innen sowie abgerechnete Leistungen und Diagnosen hervor.

Leakvent 8: LandesSportBund Sachsen-Anhalt

Unter https://ivy.lsb-sachsen-anhalt.de/.git/ lag 2023 ein git-Repository. Dieses enthielt neben Quellcode auch Konfigurationsdaten, einschließlich gültiger Zugangsdaten für den mysql-Server, der unter der gleichen Domain erreichbar war. Auf diesem Server waren Daten von mehr als 130.000 Personen einsehbar.

Die Datenbank-Zugangsdaten konnten auch unter https://ivy.lsb-sachsen-anhalt.de/configdata/configdata.xml gefunden werden:

<project name="ivy5serverdev">
<database-connections>
<connection name="ivy5dev">
<hostname>localhost:3306</hostname>
<port>3306</port>
<database>ivy5dev</database>
<user>████████████0001</user>
<password>████████████████</password>
<characterEncoding>utf8</characterEncoding>
<useUnicode>true</useUnicode>
<useSSL>false</useSSL>
</connection>
</database-connections>
...

Auf dem Datenbank-Server lagen diverse Tabellen für verschiedene Jahre, bis zurück ins Jahr 2008:

TABLE_SCHEMA TABLE_NAME TABLE_ROWS
archiv2008_1501 mitglieder_personen 6130
...
ivy_dev2017_development mitglieder_personen 139369
ivy_dev2018 mitglieder_personen 132202
ivy_dev2019 mitglieder_personen 133035
xx_ivy_dev2016 mitglieder_personen 139475

Dabei konnten die folgenden Felder befüllt werden: vernr, sportartid, verbandsid, jahrgang, m, w, aenderung, personid, vernr, nachname, vorname, geburtsdatum, geschlecht, strasse, plz, ort, blz, kontonr, kontoinhaber, iban, bic, abbuchung, einzug, telefonvorw, telefon, mobilvorw, mobil, email, mitglied_seit, mitglied_bis.

Passwörter der IVY-Nutzenden wurden im Klartext gespeichert. Zum Glück steht die IVY-Datenbank heute nicht mehr zur Verfügung.