Jsme už dost offtopic. Pak to tu časem (za pár dní) raději promazat, ať to není jako návod.
Jasně, přes třetí stranu by to šlo. Ale vše se dá odhalit. A teď hledáme jen indicie. Konec konců, sahat na externí soubory (vč. getservers) se smí jen jednou za hodinu. Vícekrát nelze (a to už se dál zjistit, při troše práce, častější přístup). Pro pravidelné scanování je hodina moc dlouhá doba, za tu se dá přehodit na "x" variantu a zpět několikrát, kdyby o to šlo. A zase pokud bys sahal pravidelně "chvíli před", tak se z korelace připojení na getservers a připojení co "jdou za chvíli" (i minuty - proto korelace, dlouhodobé proložení) dá vypozorovat, které spojení je "svázané".
A nezapomínat, nyní jde jen o indicie, abychom našli, na jaká konta se soustředit. A jakmile je máme, tak už se dají nasadit brutálnější metody.
---
Cookies s tím nemají nic společného. Ty jsou, řekněme, součástí HTTP hlavičky (a hlavičky odezvy), takže až ve chvíli, kdy už je spojení navázáno.