La Wi-Fi Alliance aveva assicurato che lo standard WPA3 sarebbe stato nettamente superiore nel livello di sicurezza rispetto al WP2, ma la recente scoperta di ben cinque vulnerabilità ha colto molti addetti ai lavori un po' di sorpresa.
Un team di ricercatori della New York University e della Tel Aviv University ha scoperto che sebbene il WPA3 impieghi una nuova procedura di autenticazione (Simultaneous Authentication of Equals - SAE), soprannominata Dragonfly, a causa di ben 5 vulnerabilità sarebbe stato possibile il furto di informazioni sensibili. Insomma, un pirata informatico esperto avrebbe potuto carpire numeri di carte di credito, email e credenziali di accesso in genere. Fortunatamente è già disponibile una patch e la distribuzione è stata avviata, quindi sarebbe il caso che tutti tutti gli access point Wi-Fi venissero aggiornati all'ultimo firmware disponibile.
Ad ogni modo Wi-Fi Alliance sostiene che non vi siano state segnalazioni di attacchi andati a buon fine sfruttando questa debolezza.
Almeno due vulnerabilità – ribattezzate "Dragonblood" – si sarebbero potute impiegare sfruttando la creazione di una rete fasulla. Il client in fase di connessione sarebbe stato forzato a impiegare il vecchio standard di autenticazione del WPA2 (4-way handshake) e quindi avrebbe funzionato anche un attacco brute force. Altre due vulnerabilità invece avrebbero potuto consentire il furto delle password direttamente dai dati trasmessi dagli access point. Infine l'ultima sarebbe stata ideale per attuare attacchi DoS (Denial-of-Service).