Tor minulý týden zveřejnil varování o pět měsíců trvající kompromitaci systémů, která sloužila ke sledování a identifikaci uživatelů, jež Tor používali pro provoz či přístup k „hidden services“ („skryté služby“ jsou v zásadě webové služby, které je ale možné používat pouze v rámci Tor služeb a přístup k nim je anonymní, stejně jako informace o jejich existenci či provozovateli).
Počítače, které byly umístěny na sítích projektu, už byly odstraněny a stopy vedou pravděpodobně k Software Engineering Institute a dvojici výzkumníků, kteří v rámci institutu působí. Problémem může být, že tato instituce, která se nachází na půdě University Carnegie Melon, je financována americkým ministerstvem obrany.
Zmíněná dvojice vědců měla údajně vystoupit na Black Hat Security konferenci právě na téma identifikace uživatelů služby Tor. Podle Rogera Dingledine, šéfa Projektu Tor, uživatelé používající Tor a „hidden services“ od února do 4. července by měli předpokládat, že jsou kompromitací ovlivněni. Uživatelé přistupující prostředníctvím Toru na klasické weby se prý obávat nemusí.
Není známo, co vše se podařilo shromáždit a jaký je osud shromážděných dat, Dingledine ale upozorňuje, že mohlo dojít k prozrazení místa, kde jsou konkrétní „hidden services“ provozovány, nikoliv však k získání obsahu komunikace mezi službou a uživatelem. Uživatelé Toru by zároveň měli aktualizovat na poslední verzi, která odstraňuje využitou zranitelnost.
Případné detaily najdete v Tor security advisory: „relay early“ traffic confirmation attack. V této souvilosti připomeňme zhruba rok starý článek, hovoří o kompromitaci Toru v rámci zásahu proti pedofilům.