El artículo que vincula dice que el FBI obtuvo "la dirección MAC" para las computadoras de los usuarios. Las direcciones MAC son específicas para cada hardware Ethernet, y no viajan más allá del primer salto, lo que significa que son visibles a su enrutador doméstico, posiblemente el proporcionado por el ISP, pero no más allá. Si esa información específica es verdadera, entonces esto significa que el FBI realmente implementó una pieza de malware en el sitio, y los usuarios simplemente lo obtuvieron en su computadora.
Después de todo, el FBI tomó por primera vez el sitio ofensivo y lo ejecutó, momento en el que tenían control total sobre su contenido. Las personas que usan Tor para acceder a un sitio de pornografía infantil no son necesariamente más inteligentes que las personas promedio, y intrínsecamente "confiarían" en ese sitio, haciendo que la implementación de malware sea posible, incluso fácil.
El anonimato de Tor se basa en la idea de que los posibles atacantes (el FBI en ese caso) no pueden controlar suficientes nodos para hacer posibles las correlaciones. Sin embargo, que "suficientemente muchos" no es un número tan grande; Si una de sus conexiones, incluso temporalmente, atraviesa un "nodo de entrada" controlado por el atacante, y el mismo atacante puede ver qué sucede en la salida (y puede hacerlo, si en realidad alberga el sitio de destino), entonces la correlación es relativamente fácil (a través del tiempo de las solicitudes y el tamaño de los paquetes, porque el cifrado no oculta el tamaño). Con el control del sitio de destino, incluso sería posible cambiar el tamaño de los paquetes de respuesta individuales para ayudar a la correlación.
Sin embargo, Tor no hace nada contra el código hostil enviado al usuario y ejecutado por el usuario, y si la dirección MAC se recuperó, ese código estaba involucrado.