Onderzoekers verbonden aan de Columbia University claimen dat meer dan 80 procent van het Tor-verkeer is te herleiden tot een ip-adres. De netwerktechnologie Netflow, die in routers van Cisco is geïmplementeerd, zou daarbij een helpende hand bieden.
De onderzoekers hebben naar eigen zeggen op meerdere locaties Tor-relays die op een aangepaste Linux-versie draaien toegevoegd aan het Tor-netwerk. Met de nodes is een grote hoeveelheid Tor-verkeer tussen 2008 en 2014 onder het vergrootglas gehouden. Daarvoor is data gebruikt van Netflow, een technologie van Cisco die in routers van het bedrijf is te vinden en gebruikt wordt om ip-verkeer te inspecteren.
Door herkenbare objecten in het anonimiseringsnetwerk, zoals html-bestanden, op pakket-niveau te analyseren bij een ingang van het Tor-netwerk en het verkeer bij een exit-node wederom te bekijken zou een groot deel van de Tor-gebruikers zijn te traceren tot een ip-adres. Tot 81,4 procent van het geanalyseerde verkeer zou, op basis van laboratoriumonderzoek, te herleiden zijn tot een ip-adres met een foutmarge van 6,4 procent.
Volgens de onderzoekers is Tor mede kwetsbaar doordat het verkeer met lage prioriteit toestaat en aanvallers hierdoor de tijd hebben om het verkeer te manipuleren of te onderzoeken wanneer de pakketjes passeren. Ook zou een aanvaller, bijvoorbeeld een geheime dienst, de geschetste methode kunnen gebruiken om gebruikers van het Tor-netwerk te kunnen identificeren, al zou daar wel een aanzienlijke netwerkcapaciteit voor nodig zijn.