Dropbox stond open voor datadieven

Ten eerste lukte het ze hash-waarden, waarmee databrokken in de Dropbox-cloud geïdentificeerd worden, te 'spoofen'. Dropbox gebruikt deze waarden om te controleren of de databrokken reeds staan opgeslagen. Als dat het geval is dan koppelt Dropbox deze aan het account van de gebruiker die de hash-waarde heeft gestuurd. Door de hashes te spoofen kregen ze toegang tot arbitraire delen van de data van Dropbox-klanten. Dit gebeurde zonder dat de gebruikers van Dropbox dit in de gaten hadden.

Dropbox host ID gekaapt
De tweede aanval bestond uit het stelen van de Dropbox host ID van de gebruiker, een 128-bit sleutel die door Dropbox wordt aangemaakt. Met de sleutel konden de onderzoekers alle bestanden van het slachtoffer downloaden.

De derde aanval maakte gebruik van de voorziening waarmee Dropboxgebruikers data kunnen opvragen die aanwezig is op een bepaalde URL, via SSL. Het enige wat ervoor nodig is zijn de hash-waarde en een geldig host ID. Deze laatste aanval was voor Dropbox zichtbaar vanwege de mismatch tussen de opgevraagde data en de accounts waardoor ze werden opgevraagd.

Zonder sporen na te laten
In plaats van complete bestanden uit een bedrijfsnetwerk te moeten smokkelen, konden aanvallers op deze manier de hash-waarde voor de gewilde data ontfutselen. Daarmee kon de daadwerkelijke data via Dropbox gedownload worden. Deze methode maakt dat datadieven files konden uploaden vanaf een computer zonder hard drive door een Linux live CD te gebruiken. Daardoor bleven geen sporen achter op de computer die eventueel door forensische expert gevonden kunnen worden.