Een kwetsbaarheid in Apple’s Hide My Email functie zou aanvallers in staat kunnen stellen het echte e-mailadres achter een anonieme alias te achterhalen, waardoor een van de toonaangevende privacytools van het bedrijf wordt ondermijnd, volgens beveiligingsonderzoekers en onafhankelijke tests door 404 Media .
Hide My Email , beschikbaar als onderdeel van Apple’s iCloud+-abonnement, laat gebruikers willekeurige e-mailaliasen genereren die berichten doorsturen naar hun primaire inbox. De functie is ontworpen om te voorkomen dat websites, apps en andere diensten het echte e-mailadres van een gebruiker achterhalen, terwijl spam wordt verminderd en online privacy wordt beschermd.
Het probleem werd ontdekt door Tyler Murphy, medeoprichter van privacybedrijf EasyOptOuts, die de kwetsbaarheid in juni 2025 aan Apple meldde. Murphy zei dat Apple het rapport erkende en aangaf dat het aangepakt zou worden, maar meer dan een jaar later is het gebrek nog steeds te misbruiken.
Om gebruikers niet meer risico te laten lopen, publiceerde 404 Media geen technische details van de kwetsbaarheid. Het medium verifieerde echter onafhankelijk de bevindingen door een nieuwe Hide My Email alias te genereren en deze aan Murphy te geven, die het echte e-mailadres dat aan het Apple-account was gekoppeld binnen ongeveer vijf minuten kon identificeren.
“We kennen de volledige omvang van het probleem niet, maar in onze beperkte tests met vrijwilligers waren 100% van de Hide My Email adressen te misbruiken,” vertelde Murphy aan 404 Media. Hij voegde eraan toe dat publiek beschikbare people-search-diensten de kwetsbaarheid nog gevaarlijker kunnen maken doordat aanvallers een blootgesteld e-mailadres kunnen koppelen aan andere persoonlijke informatie.
Volgens Murphy liet Apple hem aanvankelijk in maart 2026 weten dat het probleem was opgelost. Na heronderzoek ontdekte hij echter dat de kwetsbaarheid nog steeds werkte en gaf hij Apple aanvullend bewijs. In latere communicatie zei Apple naar verluidt dat het onderzoek blijft doen en verwacht een oplossing uit te brengen in een toekomstige beveiligingsupdate. Tot deze week is er nog geen patch uitgebracht.
De onthulling komt terwijl Apple een nieuwe wijziging voorbereidt naar Hide My Email . Het bedrijf is van plan alle gegenereerde aliassen te migreren naar het @private.icloud.com-domein, ter vervanging van de huidige mix van @icloud.com- en @privaterelay.appleid.com-adressen. Sommige privacyvoorvechters hebben gewaarschuwd dat websites het nieuwe domein simpelweg kunnen blokkeren, waardoor de bruikbaarheid van de functie afneemt, zelfs als de kwetsbaarheid uiteindelijk wordt opgelost.
Voor gebruikers die afhankelijk zijn van Hide My Email het scheiden van hun identiteit van online accounts, kan deze zwakte aanzienlijke privacygevolgen hebben. Het blootstellen van een echt e-mailadres kan aanvallers in staat stellen accounts te correleren over meerdere diensten, phishingcampagnes te faciliteren of extra persoonlijke informatie te vinden via openbare databases.
Apple heeft geen technische details van het probleem openbaar gemaakt of aangekondigd wanneer er een oplossing beschikbaar zal zijn. Totdat de kwetsbaarheid is gepatcht, raden beveiligingsonderzoekers aan om het als een extra privacylaag te behandelen Hide My Email in plaats van als een garantie van anonimiteit, vooral bij het beschermen van gevoelige identiteiten.