A napokban már a Slashdotot is megjárta Derek Newton felfedezése, miszerint a Dropbox kliensek pusztán egy SQLite adatbázisban tárolt paramétert használnak autentikációra, amely egy fiókhoz tartozó összes kliensnél azonos. Tehát ha valaki hozzáfér a felhasználói könyvtáramban lévő config.db-hez, akkor tudtom és beleegyezésem nélkül turkálhat a fájljaim között. 

Persze ha jobban belegondolunk a dologba, ha egy rosszindulatú támadó hozzáfér a könyvtáram tartalmához, akkor valahogy nyilván hozzáfér a Dropbox-omhoz is, a privát SSH kulcsaimmal egyetemben, ezzel a szolgáltató nem nagyon tud mit kezdeni, ha nem szeretné jelszóablakokkal nyüstölni a felhasználóit. 

Ami viszont a kommentek közötti felvetések alapján aggasztó lehet (legalábbis az almapárti felhasználókra nézve), hogy az OS X-re írt kliens szoftver bárki számára olvashatóvá teszi a configurációs adatbázis fájlját, így egy érvényes OS X hozzáféréssel rendelkező támadó az összes többi felhasználó Dropbox-át lerabolhatja. 

A megoldás persze egyszerű: chmod, de azért jó ha mindezt észben tartjuk!