L'articolo che colleghi dice che l'FBI ha ottenuto "l'indirizzo MAC" per i computer degli utenti. Gli indirizzi MAC sono specifici per ogni hardware ethernet e non viaggiano oltre il primo hop, il che significa che sono visibili al router di casa, possibilmente quello fornito dall'ISP, ma non oltre. Se quella specifica informazione è vera, allora questo significa che l'FBI ha effettivamente installato un pezzo di malware sul sito e gli utenti l'hanno semplicemente scaricato sul proprio computer.
Dopotutto, l'FBI prima ha sequestrato il sito incriminato e l'ha eseguito, a quel punto avevano il pieno controllo del suo contenuto. Le persone che utilizzano Tor per accedere a un sito di pornografia infantile non sono necessariamente più intelligenti delle persone comuni e intrinsecamente "si fidano" di quel sito, rendendo possibile la diffusione del malware, anche facile.
L'anonimato di Tor si basa sull'idea che i potenziali attaccanti (l'FBI in quel caso) non possono controllare un numero sufficiente di nodi per rendere possibili le correlazioni. Tuttavia, "sufficientemente numerosi" non è un numero così grande; se una delle tue connessioni, anche temporaneamente, passa attraverso un "nodo di entrata" controllato dall'attaccante, e lo stesso attaccante può vedere cosa succede all'uscita (e può, se ospita effettivamente il sito di destinazione), quindi la correlazione è relativamente facile (attraverso la tempistica delle richieste e la dimensione dei pacchetti, perché la crittografia non nasconde le dimensioni). Con il controllo del sito di destinazione, sarebbe addirittura possibile modificare le dimensioni dei singoli pacchetti di risposta per aiutare la correlazione.
Tuttavia, Tor non fa nulla contro il codice ostile inviato all'utente ed eseguito dall'utente, e se l'indirizzo MAC è stato ripristinato, allora tale codice era coinvolto.