В блоге Dropbox говорится, что утечка происходила в несколько этапов. Сначала злоумышленники (их имена не раскрываются) похитили почтовые адреса и пароли пользователей нескольких сайтов, не связанных с Dropbox.
Потом взломщики обнаружили, что некоторые пары "логин-пароль" подходят и для Dropbox, поскольку многие пользователи применяют одни и те же пароли на нескольких сайтах. В числе таких пользователей оказался и сотрудник Dropbox.
Злоумышленники получили доступ к документам в хранилище сотрудника сервиса. Один из документов содержал список почтовых адресов пользователей Dropbox. Позже на эти адреса начал приходить спам.
Dropbox принес пользователям извинения и пообещал усилить меры безопасности. Помимо пароля, сервис будет требовать от пользователя других подтверждений личности. В Dropbox появится страница с информацией о том, кто, когда и откуда подключался к аккаунту.
Кроме того, файлохранилище пообещало внедрить у себя "механизм выявления подозрительной активности". В ряде случаев Dropbox сохраняет за собой право попросить пользователя сменить пароль.
Жалобы на спам от пользователей Dropbox начали поступать во второй половине июля. Некоторые сообщали, что нежелательные письма приходят на те электронные ящики, которые были созданы специально для корреспонденции с Dropbox.