Ich habe das so verstanden, dass die Identifizierung von Benutzern nur dann funktioniert, wenn die Randominiserung nicht korrekt erfolgte. Es gab Implementierungen, da war die „zufällige“ MAC-Adresse aus der „physikalischen“ Adresse abgeleitet und damit nicht wirklich zufällig.
In deinem Fazit, dass das Risiko sehr gering ist, stimme ich zu.