Uma vulnerabilidade no recurso da Hide My Email Apple poderia permitir que atacantes descobrissem o endereço de e-mail real por trás de um pseudônimo anônimo, minando uma das principais ferramentas de privacidade da empresa, segundo pesquisadores de segurança e testes independentes feitos por 404 Media .

 

 

Hide My Email , disponível como parte da assinatura iCloud+ da Apple, permite que os usuários gerem aliases de e-mail aleatórios que encaminham mensagens para sua caixa de entrada principal. O recurso foi criado para impedir que sites, aplicativos e outros serviços aprendam o endereço real de e-mail do usuário, ao mesmo tempo em que reduz o spam e protege a privacidade online.

O problema foi descoberto por Tyler Murphy, cofundador da empresa de privacidade EasyOptOuts, que relatou a vulnerabilidade à Apple em junho de 2025. Murphy disse que a Apple reconheceu o relatório e indicou que ele seria resolvido, mas mais de um ano depois, a falha continua explorável.

Para evitar colocar os usuários em maior risco, a 404 Media não publicou detalhes técnicos da vulnerabilidade. No entanto, o veículo verificou as descobertas de forma independente, gerando um novo Hide My Email pseudônimo e fornecendo-o a Murphy, que conseguiu identificar o endereço de e-mail real vinculado à conta Apple em aproximadamente cinco minutos.

“Não sabemos a dimensão total do problema, mas em nossos testes limitados com voluntários, 100% dos Hide My Email endereços eram exploráveis”, disse Murphy à 404 Media. Ele acrescentou que serviços públicos de busca de pessoas podem tornar a vulnerabilidade ainda mais perigosa, permitindo que atacantes conectem um endereço de e-mail exposto a outras informações pessoais.

Segundo Murphy, a Apple inicialmente o informou em março de 2026 que o problema havia sido resolvido. Após retestar, porém, ele descobriu que a vulnerabilidade ainda funcionava e forneceu à Apple evidências adicionais. Em comunicações subsequentes, a Apple teria informado que continuava investigando e esperava lançar uma correção em uma futura atualização de segurança. Até esta semana, nenhum patch foi lançado.

A divulgação ocorre enquanto a Apple prepara outra alteração para Hide My Email . A empresa planeja migrar todos os aliases gerados para o domínio @private.icloud.com, substituindo a atual combinação de endereços @icloud.com e @privaterelay.appleid.com. Alguns defensores da privacidade alertaram que sites podem simplesmente bloquear o novo domínio, reduzindo a utilidade do recurso mesmo que a vulnerabilidade seja eventualmente corrigida.

Para usuários que dependem Hide My Email de separar sua identidade das contas online, a falha pode ter implicações significativas para a privacidade. Expor um endereço de e-mail real pode permitir que atacantes correlacionem contas em múltiplos serviços, facilitem campanhas de phishing ou descubram informações pessoais adicionais por meio de bancos de dados públicos.

A Apple não divulgou publicamente detalhes técnicos do problema nem anunciou quando uma correção estará disponível. Até que a vulnerabilidade seja corrigida, pesquisadores de segurança recomendam tratar Hide My Email como uma camada adicional de privacidade, em vez de uma garantia de anonimato, especialmente ao proteger identidades sensíveis.

Deixar uma resposta