近年来全程加密（End-to-End Encryption，E2EE）受到重视，除了有许多即时通信软件采用，也有部分云端文件共享服务跟进强化数据安全，然而，有研究人员指出，这些云端文件共享平台存在弱点，而有可能遭到利用。

研究人员Jonas Hofmann、Kien Tuong Truong与苏黎世联邦理工学院应用密码学团队联手，针对Sync、pCloud、Icedrive、Seafile、Tresorit等5家采用E2EE的文件共享平台进行分析，结果发现其服务器组态设置存在漏洞，攻击有机会用来随意读取、窜改、注入数据，研究人员认为，这样的弱点很有可能会被国家级黑客盯上，破坏服务器并对用户下手。

针对这次的发现，他们先后在4月下旬、9月底向这些业者通报，目前仅有Seafile于4月29日表明将着手处理，Icedrive、Tresorit也确认研究人员的通报电子邮件，但Icedrive决定不予处理；其余2家业者尚未回应此事。

研究人员指出，这些漏洞的严重程度不尽相同，在大部分的情况下，攻击者能借由自己控制的恶意服务器注入文件、窜改数据，甚至能够直接存取明文数据。他们强调，利用这些弱点进行攻击的手法并非都很复杂，未必要精通密码学才能达成；而且，不需大量资源就能发动攻击。

为何会存在加密也防不了的弱点？有些云存储平台的问题在于上传文件的过程有机可乘，有的是密码安全性不足，有的是文件共用密钥被假冒。其中Sync、pCloud、Icedrive是攻击者能通过恶意服务器破坏上传文件的机密性、完整性，从而注入文件、窜改内容，而Seafile则是让攻击者能加速暴力破解用户密码，来达到注入文件或窜改内容的目的。

至于Tresorit的部分较为特别，攻击者能在共用文件的过程中，提供伪造密钥，并窜改特定的中继数据（Metadata）。

研究人员针对导入E2EE的云端文件共享服务已有先例，2022年6月苏黎世联邦理工学院研究人员揭露Mega弱点，有可能破坏用户数据的机密性、完整性；今年4月，伦敦国王学院和苏黎世联邦理工学院联手，公布攻击NextCloud的E2EE机制3种手法。