Son más o menos correctos. Déjame explicarte.
En Dropbox, hay dos formas de compartir archivos. Compartir un enlace a un archivo desde cualquier carpeta generará un enlace de la siguiente forma: https://www.dropbox.com/s/randomkey/filename Cualquiera puede acceder al archivo que usted publicó con ese enlace. Sin embargo, cada vez que un archivo se comparte de esa manera, se genera una nueva clave aleatoria y se asocia con ese archivo. No se puede acceder a otros archivos con esa clave.
Sin embargo, también existe la carpeta "Pública" en Dropbox. Los archivos compartidos desde esta carpeta generan enlaces de forma diferente, en la forma: https://dl.dropboxusercontent.com/u/userid/filename En esta forma, se puede acceder a cualquier archivo de su carpeta pública, ya que su ID de usuario no cambiará. Alguien tendría que saber el nombre de archivo de lo que está recuperando si está accediendo a un archivo al que sí proporcionó un enlace, pero es una carpeta pública.
Por lo tanto, son bastante correctos, pero en realidad no es un defecto de seguridad porque de todos modos declaras que los archivos son públicos. Ningún archivo es público a menos que los coloque en su carpeta pública, declarándolos así.