Tohle je podle mě stará věc, že webserver je dostupný i mimo tor, myslím, že to bylo zranitelné i bez tohoto objevu (přes HTTPS certifikát), nevíte jak? Možná se ani nemusel daný web zobrazit (ale třeba jen chybová stránka z důvodu rozdílného rozhraní nebo jiného adresáře podle jiné IP/portu/rozhraní) . Možná v tom hrají roli i VirtualHosti nebo SNI
Pokud je jeden webserver dostupný přes Tor i mimo něj, lze mu poslat požadavek bez SNI a on vrátí výchozí certifikát. Dosud používaná zranitelnost byla, že výchozí certifikát byl na veřejné jméno a to vrátil přes Tor. RiskIQ má teď databázi, která to umí i obráceně, tedy pokud jako výchozí vrací certifikát pro .onion.