Jag har själv byggt en applikation där användarens data ligger krypterat med en nyckel som anges vid varje inloggning. Även om en inkräktare kommer åt både källkod och databas så kan den ej läsa användarens data.
I den finns också funktionalitet att dela ett subset av datat via en “hemlig länk”, i det fallet så lagras en kopia av datat med den känsliga informationen anonymiserad, krypterad med en huvudnyckel. Den informationen skulle en inkräktare teoretiskt kunna komma över, men den behöver alltså både källkod (huvudnyckeln + krypteringsalgoritm) samt databasen.
Nu skrev jag ju som sagt “generellt”, inte exakt hur just Dropbox fungerar, men ja i det scenariot där du väljer att dela en folder med någon annan, så har dom såklart krypterat åtminstone den foldern med någon form av master-nyckel.
Skulle bli väldigt förvånad om datan inte alltid lagras krypterad, åtminstone med någon form av master-nyckel.