安全專家通過設計攻擊發現：托管在云存儲提供商Dropbox上的文件易被未經授權地訪問。但是提供商已經堵住了這些漏洞。

Dropbox也可被用于秘密存儲文檔，這些文檔可從被黑客控制的任一Dropbox賬戶進行檢索。

出席UNIX用戶協會安全討論會的安全專家聲稱：他們在去年就已發現此漏洞利用，只是在正式公開前給了Dropbox時間以修正。

第一種攻擊中，他們成功欺騙了本應辨認存儲在Dropbox云中成堆數據的哈希值。Dropbox通過檢查這些值，查看數據是否已經存儲在云中。如果是，就將它們與發送哈希的用戶帳戶聯系起來。

來自澳洲SBA研究公司的研究員說道：通過欺騙哈希值，他們能讓Dropbox賦予接入其他用戶數據任意內容的權限。因為未經授權的訪問是從云端被賦予，文件被散播的用戶根本不知道正在發生什么。

第二種攻擊中，要求竊取受害人的Dropbox的主機ID，這是通過使用客戶具體因素（比如用戶名，時間，日期）的Dropbox產生的128位密鑰。一旦攻擊者獲得了受害人的主機ID，他就能用自己的ID去替換。等攻擊者再次同步其賬戶，所有受害人的文件都可被其下載。

第三種攻擊中，利用了Dropbox允許用戶在特定網址通過SSL請求文件塊的功能。需要的只是所有塊與任何有效主機ID的哈希值。

因為被請求文件與請求文件的賬戶之間不匹配，第三種攻擊可被Dropbox偵測到。

這三種攻擊可用于盜取使用Dropbox的公司的數據。這并非要將整個數據偷竊出企業網絡，所有的攻擊者要偷竊的只是想要數據的哈希值。哈希可以在任意地點被提交給Dropbox以下載實際的數據。

攻擊本能被用于將數據隱藏在Dropbox云內。無限的成塊數據能通過修改的Dropbox客戶端被上傳到云上，而不必與攻擊者的賬戶相聯系。為了檢索出數據，攻擊者可以發送一哈希的數據到Dropbox中，仿佛他們就打算上傳一樣。由于帶有匹配哈希的成塊數據已經在云中了，Dropbox就會將這些數據塊與發送哈希的賬戶相聯系。被攻擊者控制的任意賬戶都可獲取這些數據。

數據盜竊的隱蔽性在于攻擊者會從沒有硬盤的電腦從一張Linux live CD上上傳文件，這樣就會讓法庭專家在電腦上找不到任何線索。