研究人員揭露駭客如何「合法」取得使用者OAuth身分驗證所需的Token，攻擊者架設可透過臉書、Google等網站的帳號存取的網站服務（YourTimePlanner.com），由於攻擊者是網站的所有者，他們理所當然能夠取得所有存取該網站服務的Token，而有機會將其用於挾持使用者的其他服務帳號。

以Grammarly為例，當使用者試圖透過臉書帳號存取這項服務的過程當中，網頁編輯器會將使用者輸入的資料儲存在帳號裡，研究人員發現存取臉書帳號的OAuth身分驗證流程缺乏Token驗證步驟，而使得攻擊者有機會利用另一個App ID產生的Token，利用臉書帳號來收集用戶的Token，然後對提供服務的網站發動攻擊，進而接管用戶帳號。

研究人員說明文法檢查服務Grammarly進行OAuth身分驗證的步驟，和另外兩種網路服務流程略有不同的是，Grammarly的OAuth驗證方式同時支援Token與程式碼，若是回傳的資料是程式碼，伺服器需要將其轉換成Token來進行後續工作。但研究人員發現仍能利用類似的手法，植入不同網站服務的Token進行攻擊。

Vidio、Bukalapak也有類似的缺陷，而有可能導致網站服務的用戶帳號遭到挾持。上述3家業者獲報後，皆已完成修補。但研究人員警告，類似的弱點也有可能出現在其他採用OAuth的網頁應用程式上。