Уязвимость в функции Apple Hide My Email может позволить злоумышленникам обнаружить настоящий адрес электронной почты за анонимным псевдонимом, что подорвет один из флагманских инструментов конфиденциальности компании, согласно исследователям безопасности и независимым тестированиям 404 Media .
Hide My Email , доступный в рамках подписки Apple на iCloud+, позволяет пользователям создавать случайные псевдонимы для электронной почты, которые пересылают сообщения на их основной входящий. Эта функция предназначена для предотвращения узнавания сайтами, приложениями и другими сервисами настоящего адреса электронной почты пользователя, одновременно снижая количество спама и защищая онлайн-конфиденциальность.
Проблему обнаружил Тайлер Мерфи, соучредитель компании по защите конфиденциальности EasyOptOuts, который сообщил об этой уязвимости Apple в июне 2025 года. Мерфи заявил, что Apple признала этот отчет и заявила, что его будут исправлять, но более чем через год уязвимость остаётся уязвимой.
Чтобы не подвергать пользователей большему риску, 404 Media не публиковала технические детали уязвимости. Однако издание независимо подтвердило результаты, создав новый Hide My Email псевдоним и предоставив его Мерфи, который смог определить настоящий адрес электронной почты, связанный с аккаунтом Apple, примерно за пять минут.
«Мы не знаем полного масштаба проблемы, но в наших ограниченных тестах с волонтёрами 100% Hide My Email адресов были уязвимы», — сказал Мерфи 404 Media. Он добавил, что общедоступные сервисы поиска людей могут сделать уязвимость ещё более опасной, позволяя злоумышленникам связывать открытый адрес электронной почты с другой личной информацией.
По словам Мерфи, Apple изначально сообщила ему в марте 2026 года о том, что проблема решена. Однако после повторного тестирования он обнаружил, что уязвимость всё ещё работает, и предоставил Apple дополнительные доказательства. В последующих сообщениях Apple заявила, что продолжает расследование и ожидает выпустить исправление в будущем обновлении безопасности. По состоянию на эту неделю патч не вышел.
Раскрытие информации происходит в то время, когда Apple готовится к очередному изменению для Hide My Email . Компания планирует перенести все сгенерированные псевдонимы на домен @private.icloud.com, заменив текущую смесь адресов @icloud.com и @privaterelay.appleid.com. Некоторые защитники конфиденциальности предупреждают, что сайты могут просто заблокировать новый домен, снижая его полезность даже в случае устранения уязвимости.
Для пользователей, которые полагаются Hide My Email на отделение своей идентичности от онлайн-аккаунтов, этот недостаток может иметь серьёзные последствия для конфиденциальности. Раскрытие реального адреса электронной почты может позволить злоумышленникам сопоставлять аккаунты между несколькими сервисами, проводить фишинговые кампании или раскрывать дополнительную личную информацию через публичные базы данных.
Apple публично не раскрывала технические детали проблемы и не объявляла, когда станет доступно решение. Пока уязвимость не будет устранена, исследователи безопасности рекомендуют рассматривать её Hide My Email как дополнительный уровень конфиденциальности, а не гарантию анонимности, особенно при защите чувствительных личностей.