Na Dropboxu je bilo namreč mogoče ponarediti zgoščeno kodo oziroma prstni odtis (hash), ki se izračuna iz vsake datoteke, ki jo naložimo v oblak. To omogoča, da Dropbox datoteke, ki jih že poseduje kakšen drug uporabnik, enostavno pripiše tudi na račun novega nalagalca, ne da bi se datoteka fizično prenesla. S tem se varčujeta tako prostor na diskih kot tudi čas za sinhronizacijo, ne da bi Dropbox imel pregled nad vsebino datotek.
V prvem napadu je mogoče Dropbox pretentati, da napadalcu ponudi datoteko s poljubno vrednostjo hash, ki jo že ima shranjeno nek drugi poljubni uporabnik. Napadalec je zgolj posredoval lažni hash, tako da se je zdelo, da ima tudi sam to datoteko za sinhronizacijo. Prizadeti uporabnik ni mogel vedeti, da se je napad sploh zgodil.
Drugi napad je omogočal dostop do poljubnega računa, če je napadalec žrtvi odtujil 128-bitno identifikacijsko številko (host ID), ki jo Dropbox generira za vsak račun. Tretji napad pa je omogočal, da je napadalec prek SSL poslal zahtevek po poljubnem kosu datoteke z določeno vrednostjo hash in ID kateregakoli veljavnega računa. Ta napad je bil tudi edini, ki ga je Dropbox lahko zaznal, saj se ID in hash nista ujemala. Prvih dveh napadov ni bilo mogoče uloviti.
Dropbox je vse opisane luknje že odpravil, zato so se raziskovalci odločili za javno predstavitev. Kot vedno pa vsem uporabnikom svetujejo, da vse svoje podatke pred prenosom v oblak šifrirajo.
