Sono tipo corretti. Lasciami spiegare.
In Dropbox, ci sono due modi per condividere file. La condivisione di un collegamento a un file da qualsiasi cartella genererà un collegamento nel seguente formato: https://www.dropbox.com/s/randomkey/filename
Chiunque può accedere al file che hai postato con quel link. Tuttavia, ogni volta che un file viene condiviso in questo modo, viene generata una nuova chiave casuale associata a quel file. Non è possibile accedere ad altri file utilizzando tale chiave.
Tuttavia, c'è anche la cartella "Pubblico" in Dropbox. I file condivisi da questa cartella generano collegamenti diversi, nella forma: https://dl.dropboxusercontent.com/u/userid/filename
In questo modulo, è possibile accedere a qualsiasi file dalla tua cartella pubblica, perché l'ID utente non cambierà. Qualcuno dovrebbe conoscere il nome file di ciò che sta recuperando se sta accedendo a un file a cui hai fornito un link, ma è una cartella pubblica.
Quindi, sono in qualche modo corretti, ma non è davvero un difetto di sicurezza perché stai dichiarando i file come pubblici comunque. Nessun file è pubblico, a meno che non vengano inseriti nella tua cartella pubblica, dichiarandoli così.