A kéretlen reklámlevelek küldéséhez szükséges tömeges címlistához úgy jutottak hozzá a spammerek, hogy a Dropbox egyik alkalmazottja ugyanazt a jelszót használta a munkahelyi rendszerbe való belépéshez, mint egy olyan weboldalhoz, amit hekkerek feltörtek és közzétették a jelszavakat. Ilyenből volt néhány ezen a nyáron, így akár a LinkedIn, a Yahoo!, a Gamigo vagy a Formspring is lehetett ez a bizonyos feltört oldal.

A spammerek a Dropboxtól nem tudtak jelszavakat is szerezni, viszont a megszerzett felhasználónevekre a korábban feltört oldalak adatai közt kutatva rátaláltáltak néhány egyezésre, így be tudtak lépni néhány Dropbox-fiókba is. A cég az érintettekkel már felvette a kapcsolatot.

Jelszót változtatni egy ilyen eset után mindenképpen érdemes minden Dropbox-használónak. Amit viszont már egyikőjük sem tud elkerülni: e-mail címük eljutott a spammerekhez, így előfordulhat, hogy néhánnyal több spamet kapnak majd, mint eddig.

Az eset után a Dropbox ígéretet tett az opcionális kétlépcsős azonosítás bevezetésére, valamint arra, hogy a gyengének ítélt és/vagy régóta nem megújított jelszavakat alkalmazó felhasználókat kötelezik majd kódjuk megváltoztatására.