Sinds enkele weken krijgt een aantal Dropbox-gebruikers ineens spam op e-mailadressen die ze alleen voor Dropbox hebben gebruikt. Het bedrijf heeft de kwestie uitgezocht en licht het probleem in een blogpost toe. Bij een van de vele datalekken van de afgelopen tijd, zoals bijvoorbeeld het Linkedin-lek, zijn gebruikersnamen en wachtwoorden buitgemaakt. Met die gegevens is ingelogd bij een aantal Dropbox-accounts, waarbij spammers de e-mailadressen buitgemaakt zouden kunnen hebben.

Daarnaast is er ingelogd op het Dropbox-account van een medewerker van het bedrijf zelf. Deze medewerker had een projectdocument in zijn opslag staan, waar gebruikersgegevens in stonden. Dit document kan ook gestolen zijn. Waarom een Dropbox-medewerker een document met gebruikersgegevens online heeft staan, in plaats van dummy-gegevens, is niet bekend. Waarom hij hetzelfde wachtwoord heeft gebruikt voor een andere online dienst, want dat is waar de gegevens oorspronkelijk vandaan komen, is ook onbekend.

Dropbox voert tweefactorauthenticatie in om dit soort problemen in de toekomst tegen te gaan. Daarnaast moeten nieuwe algoritmen misbruik sneller oppikken.