OAuth2 no es intrínsecamente un riesgo de seguridad para un usuario final, es decir, la persona que se autentica en un servicio de terceros usando su cuenta de Google o Facebook (por ejemplo).
OAuth2 funciona en scopes , que definen la naturaleza y la cantidad de datos a los que el servicio de terceros terminará teniendo acceso.
Probablemente esté familiarizado con este tipo de pantalla ( fuente ):
UnaimplementaciónbiendiseñadadeOAuth2expresaráclaramentelosdiversosbitsdeinformaciónquesedivulgaránalserviciodeterceros.
Sinembargo,estorealmentedependedeladefiniciónadecuadadelosámbitosdeOAuth2.Nohayámbitosestándar,porloquevaríandeproveedoraproveedor, como se muestra en este scopes-by-provider lista .
Por lo tanto, el "riesgo externo" se encuentra en su elección del proveedor OAuth2. Es posible implementar OAuth2 de una manera totalmente insegura, y aún así "adherirse" a la especificación OAuth2. ¿Qué sucede si ejecuto un servicio con un solo alcance para toda su información? ¿Qué pasaría si mi descripción de tal alcance en la página de consentimiento fuera engañosa?
Más generalmente, a menudo es una crítica de la especificación OAuth2 que deja elementos críticos para que los implementadores los compensen por sí mismos, lo que lleva a todo tipo de problemas. La página de wikipedia los pulsa brevemente (por favor, siéntete libre de ir por el agujero del conejo y leerlo) ).
Pero esto no hace a OAuth2 intrínsecamente inseguro.
Enfrentando el escándalo actual de Cambridge Analytica: Facebook, por todo lo que se puede hacer contra ellos, ejecuta una implementación confiable de OAuth2 y ha brindado este servicio durante años antes de este evento. Las personas que entregaron su información en la debacle de Cambridge Analytica deben haber hecho clic inicialmente en la pantalla de consentimiento, que debe haber mostrado un elemento sobre la divulgación del círculo de sus amigos, al usar la aplicación de perfiles psicológicos que terminó en la pesca ( no phi shing) para toda esta información. Sin embargo, parece que Facebook tiene al menos ha sido "negligente" al aplicar su política de uso de datos (tome su propia decisión).
Editar: @Ian comentó que es posible que los usuarios de la aplicación Cambridge Analytica no hayan dado su consentimiento explícito para que se extraigan los datos de sus amigos. Supongo que significa que Facebook puede no haber sido sencillo en la descripción de su alcance.
En cuanto a su última pregunta, un proveedor de OAuth2 no puede decir más que cuándo y con qué frecuencia el servicio de terceros accede a la información del ámbito. No puede saber lo que está haciendo con el servicio de terceros o, para el caso, qué está haciendo el servicio con su información. Está (con razón) fuera de sus manos.
- Más antecedentes sobre OAuth2: enlace