Warnung vor dem ScammerRadar-Addon: Datenschutzlücken & technische Risiken

Das Forum Warnungen vor Spielern wird offiziell nicht vom Team moderiert.

Da das Scamming und auch die Rufschädigung auf GrieferGames nicht verboten sind, liegen diese Thematiken in einer Grauzone. Da weder Supporter noch Moderatoren in diese eingreifen, haben wir uns dazu entschieden, dieses Forum unmoderiert zu lassen. Jede Warnung über einen Spieler muss nicht der Wahrheit entsprechen.

Beleidigende Inhalte in diesem Forum können über die „Inhalt melden“-Funktion an das Team gemeldet werden.

Support- und Community-Themen werden lediglich über unseren Discord-Server abgewickelt, wo ihr uns schneller und unkomplizierter erreicht.
Meldet euch einfach dort, wenn ihr Fragen oder Anliegen habt: https://discord.griefergames.net/

    Wie heißt der betroffene Spieler?
    ScammerRadar-Addon
    Was hat der betroffene Spieler gemacht?
    IP Logging

    Hallo zusammen,

    ich möchte die Community heute über einige kritische Punkte bezüglich des ScammerRadar-Addons aufklären. Als Nutzer erwartet man von einem Sicherheitstool Schutz, doch eine technische Analyse des aktuellen Addons sowie der Infrastruktur zeigt, dass hier massive Risiken für die Privatsphäre der User bestehen.


    1. Unzulässiges IP-Logging ohne Datenschutz-Aufklärung Eine Analyse des Quellcodes (insb. der Klasse ServiceManager) zeigt, dass das Addon bei jeder Abfrage der Scammer-Liste eine Verbindung zu einem privaten Server (api.scammerradar.de) aufbaut. Dabei passiert Folgendes: IP-Übermittlung: Eure IP-Adresse wird bei jedem Abgleich an die Betreiber übertragen. API-Key Tracking: Es wird ein fester API-Key mitgesendet, der eine Zuordnung von Anfragen zu Nutzerprofilen ermöglicht. DSGVO-Verstoß: Es gibt für dieses Tool keine transparente Datenschutzerklärung. Die User wissen nicht, was mit ihren IP-Daten passiert, wie lange sie gespeichert werden und wer darauf Zugriff hat. In den Händen von Privatpersonen ohne rechtliche Kontrolle ist dies ein massives Sicherheitsrisiko.


    2. Technische Sicherheitsmängel (Server-Infrastruktur) Ein Blick auf die Server-Konfiguration des Projekts (via Shodan-Analyse der IP 217.160.216.10) offenbart erhebliche Sicherheitslücken. Wer „Sicherheit“ für andere garantieren will, sollte seine eigene Haustür abschließen können. Die Infrastruktur weist offene Ports und Fehlkonfigurationen auf, die es Angreifern leicht machen könnten, an die dort gespeicherten Log-Daten (eure IPs und Suchanfragen) zu gelangen.


    3. Fehlende Transparenz und administrative Willkür Aus internen Chat-Protokollen und Beobachtungen der letzten Monate geht hervor: Ghosting: Support-Tickets werden über Monate ignoriert. Rechte-Chaos: Aktive Teammitglieder haben teilweise über ein halbes Jahr lang keinen Zugriff auf das Ticket-System gehabt, während die Projektleitung inaktiv war. Machtmissbrauch: Einträge und Löschungen wirken oft willkürlich und hängen stark von der persönlichen Stimmung der Owner ab, statt von klaren Beweisen. Fazit Ein Tool, das vorgibt, die Community vor Betrug zu schützen, selbst aber intransparent arbeitet und Nutzerdaten ohne Rechtsgrundlage sammelt, ist kein Gewinn für die Sicherheit. Ich empfehle jedem User, kritisch zu hinterfragen, ob er privaten Dritten (die im Chat teilweise sehr fragwürdig agieren) freiwillig seine IP-Adresse und sein Suchverhalten zur Verfügung stellen möchte. Es gibt sicherere und transparentere Wege, sich vor Scams zu schützen. Bleibt sicher!


    Abge  CosmoHDx  giftlippenstift  SyntaxOfficial  RypexYT

    Kann dir beim dritten Punkt nur zustimmen! Ich musste leider selbst schon diese unangenehme Erfahrung mit sebisgrube machen. Ein- und Austragungen sind komplett willkürlich und absolut unfair, besonders wenn das Team nicht gut auf einen zu sprechen ist.

    Aber das, was du da herausgefunden hast, sprengt wirklich den Rahmen. Ich hoffe inständig, das Team reagiert darauf und es folgen Konsequenzen!

    Für mich der sich wirklich absolut null mit solchen Codes auskennt - wenn ich das richtig verstehe ist ein IP Logging unter den Umständen ja gesetzeswidrig und sogar rechtlich strafbar oder ?

    Zum Thema inaktivität. wird bei mir im Stream ja auch immer wieder geschrieben von Usern, dass sich absolut halt niemand mehr um das Projekt kümmert. Vor einigen Jahren war das ganze ja noch richtig gut aber ich denke man sollte nun endlich einen Schlußstrich ziehen, vor allem weil 1. anscheinend kein Interesse der Betreiber mehr so richtig besteht und 2. sich nun anscheinend ein rechtlich verbotener Aspekt aufgetan hat der dem Betreiber ein schönes Sümmchen kosten könnte, wenn dies einer zur Anzeige bringt, oder lieg ich da jetz komplett falsch, was natürlich sein kann xD

    :leuchtfeuer: Moderator vom TML - Clan

    :endportalrahmen: TrustedMM für die 1.19

    :diamanterz: Griefertwert Team Member GG 1.19

    wie deutsch will man sein? dsgvo für ein community projekt wie das. ich werd mir das mal genauer ansehen und schaun ob da was dran ist

    Mit freundlichen Grüßen

    Aktenkoffer

    Infos

    Hier findet ihr mich: CB2

    Zitat von Aktenkoffer

    woher leitest du denn IP Logging her, würde mich brennend interessieren

    IP Adressen werden von jedem Server automatisch gespeichert. Das ist auch OK und da muss auch noch nichts anonymisiert werden. Wenn ich aber einen API Key mitsende, der z.B.: durch eine UUID (MC Accountname) erstellt wird, ist es nicht mehr ganz so einfach, da muss dann eine Anonymisierung stattfinden.

    Ließt man also den Text, dass er GeGhosted wurde im Bezug auf das Thema, lässt sich drauf schließen das dies nicht der fall ist (Anonymisierung).

    hab mir den post mal angeschaut, technisch hält das nix

    der code macht nen stinknormalen HTTPS GET mit API key header. dass dabei die IP "übertragen" wird ist schlicht wie TCP/IP funktioniert, macht jeder HTTP request der welt. daraus IP logging zu machen ohne zu wissen was der server tut ist quatsch

    screenshot 2 ist übrigens gar nicht scammerradar sondern mojangs offizielle profile api (api.minecraftservices.com). als beweis mit reingeworfen sagt eig schon alles

    post schreibt "Shodan analyse", zeigt aber nen urlscan.io screenshot, sind zwei komplett verschiedene tools. und der scan zeigt nix verdächtiges, IONOS, gültiges TLS, 100% HTTPS, keine verdict. welche offenen ports und fehlkonfigurationen konkret? steht nirgends

    berechtigt wäre höchstens die frage nach ner datenschutzerklärung, das ist nen compliance thema vom betreiber. aber wie das hier aufgezogen ist (drei dramatische absätze, generische doom sätze, am ende plötzlich team drama) liest sich wie chatgpt mit prompt "schreib warum scammerradar gefährlich ist". section 3 mit dem ghosting/machtmissbrauch ist vermutlich das eigentliche anliegen, rest is technisches dressing

    Zitat von KikiTheOnex3
    Zitat von Aktenkoffer

    woher leitest du denn IP Logging her, würde mich brennend interessieren

    IP Adressen werden von jedem Server automatisch gespeichert.

    nein

    Mit freundlichen Grüßen

    Aktenkoffer

    Infos

    Hier findet ihr mich: CB2

    Einmal editiert, zuletzt von Aktenkoffer (17. Mai 2026 um 23:15) aus folgendem Grund: Ein Beitrag von Aktenkoffer mit diesem Beitrag zusammengefügt.

    in Jeden nginx oder apache log stehen IPs mit jedem Get.
    Ausserdem ist das ein Plesk der da läuft und hat einen Fail2Ban (Standart ab Obsidian)

    "jeder Server loggt automatisch IPs" stimmt halt einfach nicht, das ist Konfiguration nicht Default Naturgesetz. Und Plesk + Fail2Ban sind zwei komplett andere Themen.

    Mit freundlichen Grüßen

    Aktenkoffer

    Infos

    Hier findet ihr mich: CB2

    Wer lesen kann, ist klar im Vorteil. Screenshot 2 zeigt den UpdateSubHelper. Ja, er fragt Mojang ab, aber er bereitet die Daten für den ServiceManager vor, der sie dann zusammen mit dem API-Key an api.scammerradar.de schickt. Es geht um die Kette der Datenverarbeitung. Die Mojang-Abfrage ist nur der Vorlauf für den Upload auf den privaten Server.

    Zum Glück hab ich keine Ahnung um was es geht, aber im Prinzip sollte doch schon jeder selber hinterfragen was für tools sinnvoll sind und welche nicht. Wo man sich jetzt unbedingt Verifizieren muss und was man auch einfach seinlassen kann, aus Eigenschutz seinen Persönlichen Daten. Dieses ganze scammerradar zeugs hat mich früher eh nie gross interessiert, wer die Tricks kennt konnte sich danach einstellen. Nimmt euch etwas Zeit im Spiel und lernt von älteren Spielern wie man richtig Handelt oder sich vor ungeziefer schützt.

    Du bist erst Reich, wenn du etwas hast, das man mit Geld nicht Kaufen kann.

    CB7
    /p h Domizil >> Home Sweet Home

    so wem geht der A*** auf grundeis ,mir wäre es neu das da Ip-logging betrieben wird.

    deren infos sind ausschliesslich von der Datenbank von Mojang/Microsoft.

    das heisst du Registrierst dich mit deinem Namen und deren system generiert eine UUID daraus und das nimmt wohl das Scammerradar als info.

    weil wenn es denn so ist wieso schiesst du nicht gleich gegen das Community-Radar welche auf dem selben teil basiert ;)


    oder geh einfach gegen GG vor weil die loggen deine Ip auch ,weil wenn du misst baust sind das beweise für den Staatsanwalt ...

    mach dir gedanken wenn ich hinter dir Stehe ;)

    Einmal editiert, zuletzt von AeGiS737 (17. Mai 2026 um 23:38)

    Client-IP wird zwangsläufig bei HTTP/HTTPS Verbindungen mit gesendet.

    Der feste API-Key sammelt keine Spielerdaten des Nutzers. Er ist für alle Nutzer gleich und wird nicht dynamisch erstellt.

    In den unendlichen, virtuellen Welten habe ich unvergessliche Abenteuer erlebt, doch es ist Zeit, neue Kapitel zu erkunden.

    Danke für die vielen Jahre der Treue, Verbundenheit, der Höhen und Tiefen und dem unendlichen Rückenwind.

    Danke CB2. Danke GrieferGames.

    2016 - 2023. Goodbye GG.

    Spoiler anzeigen

    Ingame-Quitt. Ganz ohne Bann, ohne Schulden, ohne EGH, ohne Scam. Nehmt euch ein Beispiel daran und bleibt sauber <3

    Aus den Screenshots lässt sich kein Fluss von Personenbezogenen daten, zu den privaten scammerradar server ersehen.
    IP des absenders einer request ist technisch immer sichtbar, heisst nicht dass man diese speichert.

    Können uns gerne im Discord zusammensetzen, lasse mich gern vom gegenteil überzeugen vorkampff

    Mit freundlichen Grüßen

    Aktenkoffer

    Infos

    Hier findet ihr mich: CB2

    Der 1. Beitrag liest sich für "Nicht-Computer-Nerds" erstmal reißerisch und (offenbar bewusst) beängstigend. Was mit dem Beitrag überhaupt bezweckt werden will, bleibt mir ein Rätsel. Statt handfester Beweise wird hier mit Halbwahrheiten und Spekulationen umhergeworfen, was niemanden etwas bringt.

    Zum Rest: Datenschutz ist wichtig, ja. Aber ob es jetzt wegen einer (technisch sicher nicht anders lösbaren) IP-Übermittlung zwingend eine DSGVO Erklärung benötigt, ist fraglich.

    Dass das SR-Team auf freiwilliger Basis arbeitet, in ihrer Freizeit, neben Job/Schule/Familie lässt auch darauf schließen dass Kommunikationswege länger dauern können. Wenn es ein Paid-Projekt wäre, würde ich hier einen klaren Grund sehen, das Verhalten anzuprangern. Aber bei einem Community-Projekt zu verlangen dass Tickets möglichst schnell bearbeitet werden, halte ich für überzogen.

    In den unendlichen, virtuellen Welten habe ich unvergessliche Abenteuer erlebt, doch es ist Zeit, neue Kapitel zu erkunden.

    Danke für die vielen Jahre der Treue, Verbundenheit, der Höhen und Tiefen und dem unendlichen Rückenwind.

    Danke CB2. Danke GrieferGames.

    2016 - 2023. Goodbye GG.

    Spoiler anzeigen

    Ingame-Quitt. Ganz ohne Bann, ohne Schulden, ohne EGH, ohne Scam. Nehmt euch ein Beispiel daran und bleibt sauber <3