安全专家通过设计攻击发现：托管在云存储提供商Dropbox上的文件易被未经授权地访问。但提供商已堵住了这些漏洞。

　　Dropbox也可被用于秘密存储文档，这些文档可以从被黑客控制的任一Dropbox账户进行检索。

　　出席UNIX用户协会安全讨论会的安全专家声称：他们在去年就已经发现此漏洞利用，只是在正式公开前给了Dropbox时间以修正。

　　1、第一种攻击中，利用了Dropbox允许用户在特定网址通过SSL请求文件块的功能。需要的只是所有块与任何有效主机ID的哈希值。

　　因为被请求文件与请求文件的账户之间不匹配，第三种攻击可被Dropbox侦测到。

　　2、第二种攻击中，他们成功欺骗了本应辨认存储在Dropbox云中成堆数据的哈希值。Dropbox通过检查这些值，查看数据是不是已经存储在云中。若是，就将它们与发送哈希的用户帐户联系起来。

　　来自澳洲SBA研究公司的研究员说道：通过欺骗哈希值，他们能让Dropbox赋予接入其他用户数据任意内容的权限。因为未经授权的访问是从云端被赋予，文件被散播的用户根本不知道正在发生什么。

　　3、第三种攻击中，要求窃取受害人的Dropbox的主机ID，这是通过使用客户具体因素(比如用户名，时间，日期)的Dropbox产生的128位密钥。一旦攻击者获得了受害人的主机ID，他就能用自己的ID去替换。等攻击者再次同步其账户，所有受害人的文件都可被其下载。

　　这三种攻击可用于盗取使用Dropbox的公司的数据。这并非要将整个数据偷窃出企业网络，所有的攻击者要偷窃的只是想要数据的哈希值。哈希可在任意地点被提交给Dropbox以下载实际的数据。

　　攻击本能被用于将数据隐藏在Dropbox云内。无限的成块数据能通过修改的Dropbox客户端被上传到云(如阿里云)上，而不必与攻击者的账户相联系。为了检索出数据，攻击者可发送一哈希的数据到Dropbox中，仿佛他们就打算上传一样。因为带有匹配哈希的成块数据已在云中了，Dropbox就会将这些数据块与发送哈希的账户相联系。被攻击者控制的任意账户都可获取这些数据。

　　数据盗窃的隐蔽性在于攻击者会从没有硬盘的电脑从一张Linux live CD上上传文件，这样就会让法庭专家在电脑上找不到任何线索。