I slutet av juli 2012 rapporterade Dropbox att de hade haft en säkerhetsincident där någon obehörigt tagit sig in via en anställds konto och exfiltrerat ett dokument med e-postadresser till ett antal Dropbox-kunder. Nyligen har det rapporterats att den incidenten var betydligt större än vad Dropbox först konstaterat och att inloggningsuppgifter till 68 miljoner konton från år 2012 har läckt.

Uppgifterna i fråga är användarnamn och saltade hashar av lösenord. Användarnamnen för Dropbox-inloggningar är i form av e-postadresser.

Lösenordshasharna förekommer i två former:
- Saltade SHA1-hashar där saltet inte förekommer i klartext
- Bcrypt saltade-hashar, där saltet finns med.

CERT-SE skriver att "då Dropbox själva inte har kommenterat exakt vad som har hänt, är det svårt att veta om detta är allt som läckt." Dropbox har skickat ut en uppmaning till de användare som kan vara drabbade där de uppmanas att logga in och byta lösenord. Ifall de tidigare lösenordet har återanvänds på andra ställen, rekommenderar CERT-SE att man byter dessa så fort som möjligt.