Gebruikers van Tor, software waarmee anoniem kan worden gesurft, zijn mogelijk het slachtoffer van een beveiligingsprobleem waarbij in Firefox via javascript malware kan worden geïnstalleerd. Daardoor zou het mogelijk worden om Tor-gebruikers te identificeren.
Het beveiligingsprobleem, waarover onder meer op Reddit wordt gediscussieerd, kwam aan het licht op het moment dat de vermeende eigenaar van Freedom Hosting, een hostingprovider die zogenoemde hidden sites host, in Ierland is opgepakt op last van de FBI. De verborgen sites zijn alleen toegankelijk via Tor, en worden onder meer gebruikt voor anonieme communicatie, maar ook voor de uitwisseling van minder frisse zaken zoals kinderporno.
Volgens meerdere Tor-gebruikers werd het beveiligingsprobleem misbruikt door sites die bij Freedom Hosting waren gehost, zoals de anonieme berichtenservice Tormail, maar ook op fora waar kinderporno werd uitgewisseld. De theorie van meerdere gebruikers is dat de FBI de malafide code heeft geïnjecteerd op de websites om malware te installeren op pc's van gebruikers, waaronder vermeende pedofielen. Volgens een onderzoeker stuurt de malware de hostname en het mac-adres van de Tor-gebruiker naar een externe server. Inmiddels zijn de sites die bij Freedom Hosting waren ondergebracht offline.
Het misbruikte beveiligingsprobleem was aanwezig in de extended support-release van Firefox 17, die door Tor wordt gebruikt, en lijkt alleen te kunnen worden misbruikt als een gebruiker javascript heeft ingeschakeld. In het verleden had Tor javascript altijd standaard uitgeschakeld staan, maar onlangs werd besloten om die optie toch in te schakelen, om de applicatie gebruikersvriendelijker te maken. Tor zegt het beveiligingsprobleem te onderzoeken.
De opgepakte vermeende eigenaar wordt volgens de Ierse krant The Independent verdacht van het op grote schaal faciliteren van kinderporno. Voor de vier misdrijven waarvan hij wordt verdacht, alle vier gerelateerd aan kinderporno, zou hij een celstraf van 30 jaar kunnen krijgen. De Amerikaanse overheid wil dat Ierland de man, die zowel een Iers als een Amerikaans paspoort heeft, uitlevert.