Для успешной атаки жертва должна иметь учетную запись у определенного OpenID-провайдера.