安全專家通過設(shè)計攻擊發(fā)現(xiàn)：托管在云存儲提供商Dropbox上的文件易被未經(jīng)授權(quán)地訪問。但是提供商已經(jīng)堵住了這些漏洞。

Dropbox也可被用于秘密存儲文檔，這些文檔可從被黑客控制的任一Dropbox賬戶進(jìn)行檢索。

出席UNIX用戶協(xié)會安全討論會的安全專家聲稱：他們在去年就已發(fā)現(xiàn)此漏洞利用，只是在正式公開前給了Dropbox時間以修正。

第一種攻擊中，他們成功欺騙了本應(yīng)辨認(rèn)存儲在Dropbox云中成堆數(shù)據(jù)的哈希值。Dropbox通過檢查這些值，查看數(shù)據(jù)是否已經(jīng)存儲在云中。如果是，就將它們與發(fā)送哈希的用戶帳戶聯(lián)系起來。

來自澳洲SBA研究公司的研究員說道：通過欺騙哈希值，他們能讓Dropbox賦予接入其他用戶數(shù)據(jù)任意內(nèi)容的權(quán)限。因為未經(jīng)授權(quán)的訪問是從云端被賦予，文件被散播的用戶根本不知道正在發(fā)生什么。

第二種攻擊中，要求竊取受害人的Dropbox的主機ID，這是通過使用客戶具體因素（比如用戶名，時間，日期）的Dropbox產(chǎn)生的128位密鑰。一旦攻擊者獲得了受害人的主機ID，他就能用自己的ID去替換。等攻擊者再次同步其賬戶，所有受害人的文件都可被其下載。

第三種攻擊中，利用了Dropbox允許用戶在特定網(wǎng)址通過SSL請求文件塊的功能。需要的只是所有塊與任何有效主機ID的哈希值。

因為被請求文件與請求文件的賬戶之間不匹配，第三種攻擊可被Dropbox偵測到。

這三種攻擊可用于盜取使用Dropbox的公司的數(shù)據(jù)。這并非要將整個數(shù)據(jù)偷竊出企業(yè)網(wǎng)絡(luò)，所有的攻擊者要偷竊的只是想要數(shù)據(jù)的哈希值。哈?？梢栽谌我獾攸c被提交給Dropbox以下載實際的數(shù)據(jù)。

攻擊本能被用于將數(shù)據(jù)隱藏在Dropbox云內(nèi)。無限的成塊數(shù)據(jù)能通過修改的Dropbox客戶端被上傳到云上，而不必與攻擊者的賬戶相聯(lián)系。為了檢索出數(shù)據(jù)，攻擊者可以發(fā)送一哈希的數(shù)據(jù)到Dropbox中，仿佛他們就打算上傳一樣。由于帶有匹配哈希的成塊數(shù)據(jù)已經(jīng)在云中了，Dropbox就會將這些數(shù)據(jù)塊與發(fā)送哈希的賬戶相聯(lián)系。被攻擊者控制的任意賬戶都可獲取這些數(shù)據(jù)。

數(shù)據(jù)盜竊的隱蔽性在于攻擊者會從沒有硬盤的電腦從一張Linux live CD上上傳文件，這樣就會讓法庭專家在電腦上找不到任何線索。