Een nieuw lek in Dropbox kan ongeautoriseerde toegang geven tot opgeslagen documenten. Dropbox heeft op zijn eigen blog gemeld dat het een lek heeft gepatcht waarmee het voor derden mogelijk was om toegang te krijgen tot opgeslagen en gedeelde documenten welke afkomstig zijn van Dropbox.
Volgens Dropbox is de lek nog niet misbruikt. De kwetsbaarheid komt voor als er links naar documenten worden gedeeld, het document bevat naast de sharings link ook een link in het document. Dropbox geeft gedeelde links een referer mee waarmee gebruikers kunnen zien waar degene welke op de link klikt vandaan komt.
Maar als er vervolgens in het gedeelde document op een link wordt geklikt, wordt in de informatie naar de gelinkte site door de referer header tevens de link meegegeven naar het in Dropbox opgeslagen document. hierdoor krijgt de ontvanger toegang tot het document via de referer header. Dropbox heeft nu oudere gedeelde links naar dergelijke documenten onklaar gemaakt waardoor de problemen zijn opgelost. Gebruikers kunnen nieuwe links aanmaken op de oudere documenten.
