Plik, o którym mowa, config.db, zawiera tylko trzy pola: e-mail, dropbox_path i host_id. Od kiedy host_id nie jest przywiązany do konkretnego hosta i nie podlega zmianie, atakujący może utworzyć kod, który po cichu wchodzi w skład oprogramowania i przesyła config.db. Osoba atakująca może następnie uruchomić kopię Dropbox ze skradzionym plikiem konfiguracyjnym. Urządzenie nie informuje użytkownika o tym, ile urządzeń jest połączonych w danym koncie, dlatego ofiara nie zdaje sobie sprawy z kradzieży.
Niektóre komentarze mówią, że opisana powyżej akcja nie różni się od kradzieży hasła lub klucza SSH, jednak wydaje się, że działanie to ma znacznie poważniejsze konsekwencje, ponieważ użytkownik nie ma możliwości zmienić uwierzytelniania. Tu nie można po prostu zmienić hasła.
Porady dla użytkowników Dropbox sugerują wprowadzenie haseł dostępu do plików przechowywanych na Dropboksie. Oprócz tego, należy pamiętać o usuwaniu starych systemów z listy dopuszczonych systemów programu Dropbox. Monitorowanie „Ostatniej aktywności” pozwoli na kontrolę, czy na Dropbox próbował się logować ktoś o nieodpowiednim systemie. Należy go natychmiast odłączyć.
źródło: Neowin