Uma vulnerabilidade no recurso da Hide My Email Apple poderia permitir que atacantes descobrissem o endereço de e-mail real por trás de um pseudônimo anônimo, minando uma das principais ferramentas de privacidade da empresa, segundo pesquisadores de segurança e testes independentes feitos por 404 Media .
Hide My Email , disponível como parte da assinatura iCloud+ da Apple, permite que os usuários gerem aliases de e-mail aleatórios que encaminham mensagens para sua caixa de entrada principal. O recurso foi criado para impedir que sites, aplicativos e outros serviços aprendam o endereço real de e-mail do usuário, ao mesmo tempo em que reduz o spam e protege a privacidade online.
O problema foi descoberto por Tyler Murphy, cofundador da empresa de privacidade EasyOptOuts, que relatou a vulnerabilidade à Apple em junho de 2025. Murphy disse que a Apple reconheceu o relatório e indicou que ele seria resolvido, mas mais de um ano depois, a falha continua explorável.
Para evitar colocar os usuários em maior risco, a 404 Media não publicou detalhes técnicos da vulnerabilidade. No entanto, o veículo verificou as descobertas de forma independente, gerando um novo Hide My Email pseudônimo e fornecendo-o a Murphy, que conseguiu identificar o endereço de e-mail real vinculado à conta Apple em aproximadamente cinco minutos.
“Não sabemos a dimensão total do problema, mas em nossos testes limitados com voluntários, 100% dos Hide My Email endereços eram exploráveis”, disse Murphy à 404 Media. Ele acrescentou que serviços públicos de busca de pessoas podem tornar a vulnerabilidade ainda mais perigosa, permitindo que atacantes conectem um endereço de e-mail exposto a outras informações pessoais.
Segundo Murphy, a Apple inicialmente o informou em março de 2026 que o problema havia sido resolvido. Após retestar, porém, ele descobriu que a vulnerabilidade ainda funcionava e forneceu à Apple evidências adicionais. Em comunicações subsequentes, a Apple teria informado que continuava investigando e esperava lançar uma correção em uma futura atualização de segurança. Até esta semana, nenhum patch foi lançado.
A divulgação ocorre enquanto a Apple prepara outra alteração para Hide My Email . A empresa planeja migrar todos os aliases gerados para o domínio @private.icloud.com, substituindo a atual combinação de endereços @icloud.com e @privaterelay.appleid.com. Alguns defensores da privacidade alertaram que sites podem simplesmente bloquear o novo domínio, reduzindo a utilidade do recurso mesmo que a vulnerabilidade seja eventualmente corrigida.
Para usuários que dependem Hide My Email de separar sua identidade das contas online, a falha pode ter implicações significativas para a privacidade. Expor um endereço de e-mail real pode permitir que atacantes correlacionem contas em múltiplos serviços, facilitem campanhas de phishing ou descubram informações pessoais adicionais por meio de bancos de dados públicos.
A Apple não divulgou publicamente detalhes técnicos do problema nem anunciou quando uma correção estará disponível. Até que a vulnerabilidade seja corrigida, pesquisadores de segurança recomendam tratar Hide My Email como uma camada adicional de privacidade, em vez de uma garantia de anonimato, especialmente ao proteger identidades sensíveis.
