No puedo reproducir ninguno de los comportamientos que describe, por lo que esta publicación será un poco más teórica.
La capacidad que te deja perplejo parece ser la capacidad de reconocer el origen de una solicitud HTTP incluso cuando se usa una VPN y se usa un agente de usuario sin funciones como CURL. Eso sería realmente desconcertante.
Las súper cookies o los métodos de toma de huellas dactilares que conocemos dependen de algún tipo de característica (como HSTS, Flash o JavaScript para informar el tamaño de la pantalla o las fuentes instaladas). CURL no admite ninguno de esos featers, ni siquiera analiza la respuesta por ti. Por lo tanto, seguir siendo capaz de identificar al usuario sería realmente mágico, o al menos una señal de una VPN defectuosa.
Sin embargo, la prueba que describe en su pregunta no demuestra la capacidad propuesta. Hay una gran cantidad de explicaciones alternativas que aún no ha descartado. Solo por nombrar algunos:
- La IP de las VPN: s conocidas están listadas y bloqueadas.
- La IP de la VPN está en una geolocalización bloqueada.
- El botón está activado por JavaScript, ese CURL no se ejecutará.
- El comportamiento es aleatorio.
La prueba que haría sería utilizar CURL (con la misma solicitud) y una VPN para el primer y el segundo intento, pero con diferentes nodos de salida, es decir, diferentes direcciones IP. Si las pruebas repetidas de ese tipo demostraran que funcionaba algún tipo de super cookie, estaría realmente perplejo, pero no hasta entonces.