Nicht ganz korrekt

Es wurden nicht die Passwörter entwendet, sondern die Passwort-Hashes. Da man nicht weiß, mit welchem Verfahren die PWs gehasht wurden (Dropbox verwendet zwei), besteht das das Risiko, dass das leichter per Brute Force auszuhebelnde SHA1 zum Einsatz kam, womit zumindest prinzipiell die Wahrscheinlichkeit besteht, dass irgendwer die dahinterliegende Passwörter knacken kann.