Dropbox a démenti avoir été l'objet d'un vol d'identifiants et de mots de passe. Le site a réagi après la mise en ligne d'une liste de 400 comptes présentés comme ceux d'utilisateurs de son service. L'auteur du supposé larçin réclamait le versement de bitcoins pour continuer à dérouler sa liste qui totaliserait 6,9 millions d'entrées.

Dropbox a d'abord répondu qu'il n'avait fait l'objet d'aucune intrusion. La théorie avancée est qu'il s'agit de comptes d'un ou plusieurs autres services en ligne. Ce qui n'exclut pas que des gens utilisent les même informations d'un site à l'autre pour des raisons de commodité. Le service rappelle qu'il réinitialise automatiquement les mots de passe en cas de détection d'une activité suspecte autour d'un compte.

Dans un second temps, après publication de la liste, Dropbox a précisé qu'il n'avait trouvé aucun lien entre ces références et des comptes d'utilisateurs. Sachant que la liste est encore très largement incomplète comparé à ce que le Rapetou dit avoir en sa possession. Dropbox en profite pour recommander de se mettre à l'authentification en deux étapes et surtout d'éviter les identifiants uniques que l'on utilise de sites en sites.