Dass auch ein für den Schutz persönlicher Daten konzipiertes System wie OAuth nicht hundertprozentig perfekt sein kann, zeigte sich bereits im April 2009, als im Authentifizierungsablauf des Protokolls eine Sicherheitslücke entdeckt wurde. Wie bei vielen anderen solcher Systeme ist auch Phishing ein ständiges Risiko: So wurden zwischen April und Mai 2017 eine Million Gmail-User Opfer einer OAuth-basierten Phishing-Attacke. In einer betrügerischen E-Mail waren sie darum gebeten worden, ihre Autorisierung über ein gefälschtes Interface zu erteilen, um einer angeblichen Anwendung namens „Google Apps“ Zugriff auf ihre Account-Daten zu ermöglichen.
Die Entwicklung der Nachfolgerversion OAuth2 sollte daher nicht nur die Implementierung des zunehmend komplexen Protokolls erleichtern, sondern auch seine Sicherheit erhöhen. Im Oktober 2012 kamen die damit verbundenen Bemühungen zu einem finalen Ergebnis – jedoch ohne eine Absegnung derjenigen Entwickler, die damals beim Original-OAuth mitgeholfen hatten. Lediglich der leitende OAuth2-Redakteur Eran Hammer-Lahav hatte am alten OAuth mitgearbeitet – und selbst dieser distanzierte sich schließlich von dem neuen Projekt,drei Monate vor der Veröffentlichung. In einem Artikel auf seinem Blog hueniverse.com vom 26. Juli 2012 erklärte er die Hintergründe für seine Entscheidung und bezeichnete OAuth 2.0 gleich in der Überschrift als „Weg in die Hölle“.
Was war passiert? Laut Hammer-Lahav war die Entwicklung des neuen Protokolls von ständigen Debatten zwischen den Entwicklern und den beteiligten Unternehmen (u.a. Yahoo!, Google, Twitter und auch der Deutschen Bank) bestimmt gewesen. Streitfragen seien meist zugunsten wirtschaftlicher Interessen irgendwann ignoriert worden. Konsequenz sei ein Protokoll, das laut Hammer-Lahav nicht mehr als solches bezeichnet werden dürfte. Denn statt einen eng definierten Standard darzustellen, sei OAuth2 höchstens ein Framework, das man beliebig anpassen und erweitern könne. Damit hätte OAuth2 aber das Merkmal der Interoperabilität verloren – unterschiedliche OAuth2-Implementierungen seien also nicht zwangsläufig miteinander kompatibel.
Noch eine Sache bedauert Hammer-Lahav: Dass man sich für eine einfachere Implementierung entschieden habe (zum Beispiel durch das Weglassen von Signaturen), führe zu einen Mangel an Sicherheit. Um eine sichere Anwendung programmieren zu können, die OAuth2 unterstützt, müssten Entwickler ein erhebliches Maß an Expertise mitbringen. Wahrscheinlicher sei daher, dass sich künftig schlicht unsichere Anwendungen im Netz häufen würden. Implementierungsfehler seien angesichts der unvollständigen und übermäßig komplexen Spezifikationen unvermeidbar, so Hammer-Lahav.
Mit seinen Befürchtungen hatte Hammer-Lahav zumindest teilweise recht: Im Jahr 2016 beschäftigte sich erstmals eine Forschergruppe von der Universität Trier mit der Sicherheit von OAuth2 und entdeckte dabei zwei Sicherheitslücken. Eine davon ermöglichte Man-in-the-Middle-Attacken. Grundsätzlich schätzten die Forscher das Protokoll aber als verhältnismäßig sicher ein – vorausgesetzt, es sei korrekt implementiert. Das Team hinter OAuth2 hat die Schwachstellen laut eigenen Angaben bereits behoben. Der Forschungsbericht war für viele IT-Experten allerdings Anlass, sich in Artikeln näher mit der sicheren Verwendung von OAuth 2.0 zu befassen.